Hvorfor er databeskyttelse så uhyre vigtig?

Hvad kan konsekvenserne være? Og hvor stor er risikoen?
Omkring 25. maj 2018, hvor nye og skrappere regler for håndtering af persondata trådte i kraft, blev der fokuseret meget på de store bødestørrelser. Men en eventuel bøde kan meget vel være dit mindste problem, hvis din virksomhed er truet på livet af cyberkriminalitet.

Bøder

De store bødestørrelser, der er en del af den nye lovgivning, er da også store:
Op til 20 mio. Euro eller 4% af årlig global omsætning. Men der kan også være andre konsekvenser som bør tages i betragtning:

Erstatningsansvar

Persondataforordningen indeholder en bestemmelse om erstatningsansvar, ”Enhver, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning for den forvoldte skade fra den dataansvarlige eller databehandleren” (Artikel 82).

Fængsel og frakendelse af retten til at behandle persondata

Den nye danske Persondatalov (lov nr. 502 af 23.05.2018) føjer to nye aspekter til, idet denne: 

1. I forhold til den hidtil gældende Persondatalov (Lov nr. 429 af 31.05.2000) hæver strafferammen for
overtrædelser fra 3 til 6 måneders fængsel (§41).

2. Åbner op for at private databehandlere ”ved dom for strafbart forhold kan frakendes retten hertil,
såfremt det udviste forhold begrunder en nærliggende fare for misbrug” (§43).
Shitstorm, mistet omdømme og mistede kunder.

Men ud over de i den nye lovgivning fastsatte sanktioner, hvor der i skrivende stund endnu ikke er nogen retspraksis, bør det også tages med i betragtning at nyheder i vor elektroniske verden spredes med lynets hast, og at mangel på tillid eller kunders/brugeres mishag hurtigt kan få store konsekvenser for såvel store som små virksomheder, enten direkte i form af mistede kunder eller indirekte i form af mistet omdømme. Behøver jeg i den forbindelse nævne Jensens Bøfhus og senest Danske Bank?

Andre store omkostninger

Ud over store omkostninger til genopretning af et eventuelt anløbent omdømme, kan det også være forbundet med store omkostninger, hvis et cyberangreb:

A. forhindrer virksomhedens adgang til driftssystemerne, forestil dig, du ikke kan:
– skrive faktura
– se hvilke ordrer/opgaver, der venter på at blive effektueret
– se hvilke varer, der er på lager, og hvilke, der er på vej fra/skal bestilles hos leverandører

B. sletter eller ændrer i virksomhedens data og disse skal rekonstrueres før virksomheden kan fortsætte sin normale drift.

C. bevirker der overføres store beløb til en svindler (ceo-fraud/direktørsvindel), her viser en sag fra 2017, hvor en virksomhed blev franarret 13,2 mio. kr. at SKAT nægtede virksomheden fradrag for dette tab med bl.a. begrundelserne:

1. det er ikke en normal driftsomkostning
2. virksomheden burde have iværksat forholdsregler til at undgå svindlen

Har du brug for sparring?

Nu er det nok ikke alle de foranstående (A-C), der er relevante i alle virksomheder, men det er netop dét en risiko-vurdering skal være med til at afdække:

1. hvilke data kan virksomheden tåle at undvære adgangen til i en periode (hvilke opgaver kan evt. klares manuelt)

2. Hvilke data skal virksomheden altid kunne stole på er 100% korrekte?
Og her taler vi ikke kun om persondata, men om data i alle virksomhedens systemer, risiko-vurdering er en øvelse, der kan medvirke til:

a. at afdække, hvor virksomheden er mest sårbar, og dermed hvor virksomheden skal bruge flest ressourcer på at imødegå risici

b. opmærksomhed omkring de afdækkede sårbarheder/risici i det daglige, også hos evt. medarbejdere, og awareness, det viser flere undersøgelser, er et vigtigt værn mod cyberkriminalitet.

Hvor stor er risikoen?

Det er jo ikke kun et spørgsmål om at risikere at Datatilsynet kommer på besøg, men også et spørgsmål om risiko’en for at blive offer for cyber-kriminalitet, så som hacking, ransomware, ceo-fraud, phishing m.m.:

1. I vor elektroniske verden er en tablet/ bærbar pc blevet et våben, der fra ethvert sted på kloden kan angribe hvem, hvad og hvor som helst

2. Ifølge den seneste trusselsvurdering (maj 2018) fra Center for Cybersikkerhed er truslen mod danske virksomheder og myndigheder fra cyberkriminalitet MEGET HØJ, rapporten kan læses i sin helhed her: https://fe-ddis.dk/CFCS/

3. En verdensomspændende undersøgelse fra Ponemon Institute ”Ponemon Study 2017 – the cost of data breaches” viser at system-/procedure-fejl og menneskelige fejl er skyld i henholdsvis 25% og 28% af alle brud på datasikkerheden, altså kan mere end halvdelen af alle brud på datasikkerheden henføres til interne årsager i virksomhederne, hvilket understreger vigtigheden af såvel en risiko-vurdering, som en generel opmærksomhed (awareness) omkring isici’ene for cyber-kriminalitet.

4. Ifølge Beredskabsstyrelsens rapport ”Danskernes risikoopfattelse 2017” er 45% enten ”bekymrede” eller ”meget bekymrede” for at et cyberangreb vil ske indenfor de næste 5 år, rapporten kan ses i sin helhed her.

Er det overhovedet relevant for små virksomheder?

Desværre er det en udbredt opfattelse bland små og mindre virksomheder, at netop størrelsen er et forsvar mod cyber-kriminalitet, men jeg har hørt eksperter udtrykke frygt for at efter 25. maj 2018, er der stor risiko for at cyberkriminelle vil kaste sig over netop små og mindre virksomheder.

Overvejende fordi sandsynligheden for at de vil have høje sikkerheds-niveau som store og større virksomheder ikke er overvældende, og hvis det er et spørgsmål om nogle klik med musen, er 10 ekstra klik for at svindle sig til 10 mio. i stedet for at svindle sig til 10 mio. i ét hug, kan man jo ikke sige at arbejdsindsatsen er overvældende.

Har du brug for sparring?

Hvis du vil have vished for, om du og din virksomhed lever op til gældende love og regler, så book en start-up-session hos TD Consult på +45 40 25 46 26 eller tove@tdconsult.dk og bliv klogere på, hvad der forventes af din virksomhed.