To nyere danske sager viser tydeligt, at manglende styr på databeskyttelse ikke længere blot et spørgsmål om påtaler fra Datatilsynet eller administrative bøder. Det kan koste mere og i alvorlige tilfælde millioner.
Erstatningsniveauet for immaterielle skader ved GDPR-brud har tidligere været uklart i dansk praksis, men nyere domme er nu begyndt at trække tydelige linjer.
Fra 2.500 kr. til flercifrede erstatninger
Østre Landsret tilkendte i en konkret sag en kvinde 2500 kr. i erstatning, efter at en kommune ved en fejl havde udleveret hendes helbredsoplysninger til en tredjepart i forbindelse med en aktindsigt. Beløbet kan virke beskedent, når man tager oplysningernes følsomhed i betragtning.
Perspektivet ændrede sig markant i lyset af en nyere sag fra retten i Viborg. Her blev staten dømt til at betale 112.500 kr. i erstatning, efter Civilstyrelsen havde udleveret følsomme oplysninger om en kvinde til en tidligere gerningsmand. Retten lagde samtidig vægt på, at der var tale om en krænkelse af privatlivets fred efter Den Europæiske Menneskerettighedskonvention.
Dette viser, at selv en tilsyneladende “lille” erstatning på 2.500 kr. bør tages alvorligt. For hvad sker der, hvis et databrud ikke rammer en enkelt person, men mange, som et ofte er tilfældet i praksis?
Når mange rammes, vokser risikoen hurtigt
Mange databrud, herunder cyberangreb, fejlagtige masseudleveringer og systemfejl, rammer ikke blot enkeltpersoner, men ofte hundrede eller tusinder af registrerede samtidigt. Dermed kan selv tilsyneladende begrænsede fejl udvikle sig til alvorlige økonomiske konsekvenser.
Et simpelt regnestykke viser risikoen:
- 2.500 kr. × 100 registrerede = 250.000 kr.
- 2.500 kr. × 200 registrerede = 500.000 kr.
- 2.500 kr. × 5.000 registrerede = 12,5 mio. kr.
- …
Privacy by design og by default
Fælles for sagerne er manglende elle utilstrækkelig privacy by design og privacy by default. Når systemerne og processer ikke er indrettet med databeskyttelse som udgangspunkt, øges risikoen for fejl markant.
Der vil altid være en risiko for, at der kan ske menneskelige fejl. Derfor skal IT-systemer, adgangsstyring, dataminimering og standardindstillinger være designet til at forebygge, at fejl ikke fører til ulovlig videregivelse af personoplysninger.
Indsigtsanmodninger og sikkerhedsbrud – to sider af samme risiko
Håndtering af indsigtsanmodninger og aktindsigt er et komplekst område, hvor grænsen mellem den registreredes rettigheder og beskyttelsen af tredjemandsoplysninger ofte er vanskelig at trække. Fejl kan føre til ulovlig videregivelse af blandt andet helbredsdata, økonomiske forhold eller hemmelige adresser. Retspraksis viser, at sådanne fejl ofte udvikler sig til egentlige databrud med erstatningsansvar.
Sagerne viser også, at sikkerhedsbrud ikke kun handler om cyberangreb, men kan også handle om mangelfulde arbejdsgange, utilstrækkelige systemkontroller og uhensigtsmæssige processer hvilket kan være lige så alvorligt. Når et sikkerhedsbrud sker, står organisationen typisk overfor både at skulle anmelde det til Datatilsynet, underrette de registrerede samt potentielle erstatningskrav.
Kom godt igennem GDPR med vores hjælp
Databeskyttelse og informationssikkerhed er komplekse områder, hvor fejl hurtigt kan få alvorlige konsekvenser. Vi står derfor klar til at hjælpe jer både med forebyggende tiltag og med den praktiske håndtering i konkrete sager.
Hvis du vil læse mere om de konkrete sager, kan du se dem her:
Kæmpe persondata-brøler: Staten gav sexovergrebsmand adgang til offerets data | Radar
Dansk GDPR-dom er et nybrud: Nu skal afgørelse til Højesteret | ComplianceTech
