Ifølge en undersøkelse utført av advokatbyrået DLA Piper var det meldt inn 820 avvik fra den nye personvernloven (GDPR) i Norge fra 25. mai 2018 til februar 2019.
Det plasserer oss som nummer ti på listen over EU og EØS-land med flest innmeldte avvik. Det er totalt 26 land med i undersøkelsen. I forhold til befolkningstall ligger Norge på 12. plass.
Nederland troner suverent øverst på begge listene, med 15.400 avvik innmeldt.
Et avvik oppstår når personopplysninger kommer på avveier eller kan ha kommet på avveier. Det kan være alt fra epost sendt til feil mottager til passord eller helseopplysninger på avveier. GDPR-loven dikterer at virksomheter som oppdager slike avvik skal melde dem til Datatilsynet innen 72 timer. Overholder man ikke varslingsfristen eller har vært uaktsom kan man bli ilagt strenge bøter.
Datatilsynet fornøyd
– Denne statistikken stemmer ganske godt med våre egne tall. Mange varsler om avvik betyr ikke at det er mange brudd på personvernforordningen, i seg selv betyr de snarere at virksomhetene er flinke til å avdekke og melde inn avvik slik de skal, sier Bjørn Erik Thon, direktør i Datatilsynet til DN.
Han sier det høye tallet for Nederland blant annet kan forklares med at landet lenge har hatt et godt varslingsapparat og en kutyme i næringslivet for å melde avvik.
– Nederlenderne er flinke, men vi er naturlig nok mest opptatt av Norge. Vi hadde en tredobling av antallet varsler fra 2017 til 2018, noe som viser at GDPR tas på alvor i næringslivet og at mange er blitt flinkere til å avdekke og melde om avvik, sier Thon.
Han understreker at relativt få avvik ender med saksbehandling hos Datatilsynet.
– 73 prosent av varslene vi mottar bekrefter vi som mottatt og ikke alvorlige. Dette er fortsatt ganske nytt både for oss og virksomhetene og det kommer en del unødige varsler også. Vi vil fremover komme med mer informasjon om hva som må varsles og jobber med å videreutvikle varslingsapparatet, sier Thon.
Strenge bøter
Det store riset bak speilet ved innføringen av GDPR var et skjerpet bøtenivå for brudd på personvernreglene. Brudd på reglene kan medføre en bot til ansvarlig virksomhet på inntil ti millioner euro eller to prosent av omsetningen, avhengig av hvilket tall som er høyest. I særdeles alvorlige tilfeller kan 20 millioner euro eller fire prosent av omsetningen gis i bot.
– Jeg tror nok fortsatt bøtenivået er en viktig faktor for at mange jobber aktivt med personvern, men så langt har vi ikke utstedt mange overtredelsesgebyr, sier Thon.
Her i Norge har det ikke vært forelagt mange store GDPR-bøter så langt. Det eneste tilfellet er et varslet overtredelsesgebyr på 1,6 millioner kroner som gjelder et avvik i skolesystemet Itslearning hos Bergen kommune.
I hele EU/EØS er det delt ut 91 GDPR-bøter hittil. Google er selskapet som har fått den største, på 488 millioner kroner. Boten ble utstedt av den franske personvernmyndigheten for Googles bruk av personopplysninger til annonseformål uten gyldig samtykke.
Den tyske flørte-appen Knuddels fikk et overtredelsesgebyr på 195.000 kroner for ikke å ha sikret de ansattes passord godt nok, mens tyske helsedata på avveier medførte et gebyr på 780.000 kroner.
– Vi har flere saker til behandling nå som kan ende i overtredelsesgebyr, så flere blir det nok i Norge også fremover, sier Thon.
Datatilsynet er sikre på at nordmenns personvern er bedre ivaretatt nå enn før GDPR trådte i kraft.
– Det vil jeg absolutt si. Antallet avviksmeldinger viser at virksomhetene tar dette på alvor. Antallet personvernombud i Norge er tredoblet, noe som i seg selv betyr et bedre personvern og viser betydningen av å innføre den nye personvernforordningen, sier Thon.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.
