GDPR: 72 bedrifter braut personopplysningslova på fem år

GDPR: 72 bedrifter braut personopplysningslova på fem år

Små og mellomstore bedrifter bryt lova når dei brukar usikra e-post til å ta imot sensitiv informasjon frå kundar. No varslar Datatilsynet fleire kontrollar.

IKKJE LOVLEG: E-post er ikkje ei godkjend meldingsteneste når det er snakk om utveksling av sensitive opplysningar.

Publisert 14.07.2023, kl. 05.31

Vi har alle sensitive opplysningar om oss sjølv som vi ikkje vil at skal kome på avvege.

I ganske nøyaktig fem år har vi difor hatt personopplysningslova eller GDPR. Det handlar om at informasjonen vi gir til bedrifter og styresmakter, må dei passe godt på.

Men det er eit komplisert regelverk som tek tid og kostar pengar å stelle seg til.

Det gjer at mange små og mellomstore bedrifter bryt lova kvar dag fordi dei ikkje har råd til å følgje opp regelverket.

– Vi er eit lite AS og har ikkje ressursar eller kapasitet til å ha ei teneste som kan sitje å ta telefonar hos oss, seier ein leiar i ei lita bedrift i Bodø.

Difor har dei kontakt med kundane sine via e-post. Det er ikkje ei godkjend meldingsteneste når det er snakk om utveksling av sensitive opplysningar.

Leiaren vil vere anonym fordi ho veit at dei bryt personopplysningslova jamt og trutt. NRK kjenner identiteten hennar.

– Eg kjenner vi står i ein limbo mellom det å bryte lova og det å kunne gi service og vere tilgjengeleg. Det er ubehageleg å vite at vi bryt lova, seier leiaren.

Datatilsynet har bøtelagt 72 små og mellomstore bedrifter sidan GDPR kom. Sjansen er stor for at det kan bli mange fleire

Les også: Datatilsynet om ny app: – Neppe godt nytt for personvernet

– Dei fleste små og mellomstore bedriftene syns dette er eit utfordrande hovudverk. Dei fleste kikkar litt ned når det temaet kjem opp, seier Pål Reinert Bredvei.

Han er sjef i Adminkit, som er eit selskap som hjelper små og mellomstore bedrifter med personal og administrasjon.

Pål Reinert Bredvei sjef i Adminkit meiner dei fleste små og mellomstore bedriftene synes det er eit utfordrande hovudverk.

– Eg veit at mange ikkje har dette i orden. Det er fordi dette er komplisert, spesielt for små og mellomstore bedrifter som har liten eller ingen kompetanse på det, seier Bredvei og legg til:

– Men ein slepp ikkje unna det. Dette er noko ein må ha i orden.

Det er fem år sidan GDPR vart innført. Her er nokre av dei største bøtene Datatilsynet har gitt for brot på personopplysningslova dei siste åra:

Bredvei seier personopplysningar kan vere mykje forskjellig. Det kan til dømes vere informasjon som handlar om religion, sjukdomsbakgrunn, medisin og etnisitet.

– Og personopplysningar handlar ikkje berre om kundane sine data, men det handlar vell så mykje om informasjon som bedrifta lagrar om sine tilsette.

Les også: Kommunane har skulda for datafeilen i barnevernet, meiner jussekspert

Dette problemet har stort omfang fortel direktør i datatilsynet Line Coll.

– Det er store mørketal, mest sannsynleg, seier Coll.

For det er eit komplisert regelverk og det tek tid og kostar pengar å etterleve.

Fram til no har ikkje mange småbedrifter vorte bøtelagde for lovbrot. Det kjem til å endre seg.

– Små og mellomstore bedrifter skal etterleve regelverket, det er vi veldig klare på. Så om det skjer noko i ein slik bedrift, er det ikkje utenkeleg at vi kjem på tilsyn og gjer eit grep rundt det.

Direktør i Datatilsynet, Line Coll seier det er store mørketal.

Coll har forståing for at det å følgje GDPR-regelverket til punkt og prikke er vanskeleg, men ho er tydeleg på at bedriftene må gjere noko. Det er betre enn ingenting.

– Vi forventar at alle verksemder i Noreg i dag som behandlar personopplysningar gjer noko.

Leiaren i Bodø fryktar at Datatilsynet skal dukke opp på kontroll.

– Men vi er førebudd på at det kan skje.

Leiaren i Bodø seier det ville vore ubehageleg om Datatilsynet kom på kontroll.

I framtida håpar ho at bedrifta kan gå saman med andre små bedrifter og finne ei betre løysing på kommunikasjon.

– Det hadde vore det aller beste.

LES MER: