Tre år efter indførelsen af GDPR-reglerne lækkes fortsat mange personfølsomme data om borgere og kunder fra virksomheder og det offentlige.

Skrevet af Nikolaj Henum

Selv om myndigheder og virksomheder de seneste tre år har stået på hovedet for at formulere strategier og ændre arbejdsrutiner, er det fortsat uklart for mange ansatte, hvordan de konkret skal beskytte borgernes og kundernes persondata i dagligdagen.

Tæt på halvdelen af de danske lønmodtagere – 43 pct. – som behandler følsomme persondata, føler sig utilstrækkeligt informeret af deres arbejdsgiver om, hvorvidt de må opbevare og hvordan de skal håndtere personfølsomme e-mails, viser en ny undersøgelse lavet af Wilke for den faglige organisation for salg og marketing, Business Danmark.

”Overraskende mange er enten uvidende eller har en lidt for tilbagelænet adfærd omkring persondata i mail indbakken,” siger Martin Kildgaard Nielsen, CEO i Business Danmark og konstaterer, at hver femte end ikke ved, om de har personfølsomme mails liggende.

”Det giver overhængende risiko for datalæk, og får udefrakommende fingre i den slags oplysninger, kan det bruges til alt fra identitetstyveri, hacking af virksomheden eller afpresning af den enkelte kunde eller borger. Lækket kan forårsages af banale fejl, hvor man sender en mail til en forkert modtager. Eller decideret bedrageri, hvor kriminelle får adgang til ens arbejdsmail og -computer, fordi man er kommet til at trykke på en phishing-mail,” siger han.

150 sikkerhedsbrud hver uge

Datatilsynet støder på både små og store brud på reglerne. Siden foråret 2020 har Datatisynet hver uge modtaget cirka 150 underretninger om sikkerhedsbrud – ligeligt fordelt mellem offentlige myndigheder og private virksomheder. Men langt fra alle sikkerhedsbrud indberettes.

Mens kommunerne står for tæt ved to tredjedel af sikkerhedsbrudene på det offentlige område, står forsikrings- og pensionsselskaber, banker og uddannelsesinstitutioner for halvdelen af brudene i den private sektor.

”Man kan ikke 100% forhindre sikkerhedsbrud, men risikoen kan minimeres ved at arbejde på flere fronter. Først og fremmest skal det være nemt at gøre det rigtige. Løbende træning og viden og korrekt adfærd bringer os et stykke af vejen. Men det er ofte mere effektivt at have faste processer og it-systemer, som hjælper os i en travl dagligdag,” påpeger Martin Kildgaard Nielsen.

”Vi træner i Business Danmark selv løbende alle medarbejdere via e-learning, så de bliver opmærksomme på at undgå sikkerhedslæk. Ligesom vi udveksler følsomme medlemsoplysninger krypteret og bruger programmer til løbende at scanne mails for følsomme persondata, så den enkelte medarbejder skal tage stilling til, om disse mails skal arkiveres eller slettes,” siger han.