Det norske Datatilsyn har udstedt et overtrædelsesgebyr på 2,5 mio. norske kroner til en amerikansk medicinalvirksomhed for for sen anmeldelse af et brud på persondatasikkerheden. Hackere fik via phishing adgang til HR-chefens mailkonto i næsten en måned, hvilket eksponerede medarbejderdata på tværs af lande, herunder navn, ansættelsesforhold, ferie, løn og oplysninger om goder.
Tilsynets begrundelser
Tilsynet fastslog, at bruddet var anmeldelsespligtigt, og at en forsinkelse på 64 dage efter 72-timers fristens udløb var alvorlig. Virksomhedens interne politik krævede omfattende interne undersøgelser før ekstern EU-rådgivning, hvilket gjorde rettidig anmeldelse praktisk umulig.
Myndigheden lagde vægt på, at løn- og personalegodeoplysninger øger risikoen for identitetstyveri og svindel. Desuden blev virksomhedens DPO også fungerende direktør for den globale IT-afdeling, hvilket er uforeneligt med kravet om uafhængighed og fravær af interessekonflikter.
Praktiske konsekvenser
Virksomheder bør etablere beredskab, der muliggør en foreløbig vurdering og anmeldelse inden for 72 timer, også når alle fakta ikke er afklaret. Supplerende oplysninger kan indsendes efterfølgende.
Klare roller, eskalationsveje og tilgængelighed af ekstern rådgivning er afgørende, særligt ved grænseoverskridende behandling. DPO-funktionen skal være uafhængig og fri for ledelsesansvar, der kan påvirke tilsynsopgaverne.
