Hva vi kan lære av de første GDPR-sakene?
2018 var
året da håndhevingen av personvernforordningen (GDPR) begynte. Først i EU, noe
senere i EØS-området. Mange har lurt på hvor streng håndhevingen fra de
forskjellige europeiske datatilsynene kom til å bli. Her har vi noen tidlige
indikasjoner, uten at vi skal slutte for mye av dem.
Vi ser på fire saker, én fra Norge, og tre fra kontinental-Europa. Tre av fire saker overrasker med sine lave bøter. Også de utenlandske sakene er relevante for Norge, fordi det følger av GDPR at tilsynspraksis fra et land i EU/EØS også er relevant i andre øvrige land.
Sak 1: Bergen kommune krypterte ikke passord
I Norge har Datatilsynet varslet Bergen kommune om en bot på 1,6 millioner kroner. Bakgrunnen er at sikkerheten i grunnskolens datasystem etter tilsynets syn var for dårlig. Elever og ansatte kunne enkelt få tilgang til andre brukeres passord og brukernavn, ved å gå inn i mapper som lå tilgjengelige på skolens nettverk. Datatilsynet har lagt vekt på at den utilstrekkelige sikkerheten går ut over mange personer, og at mange av disse er barn. Barn gis et særlig vern etter GDPR.
Sak 2: Portugisisk sykehus hadde mange flere legeprofiler enn leger
Et sykehus i Portugal slet med en administrativ sikkerhetsutfordring. Langt flere brukere av de interne sykehussystemene enn nødvendig hadde tilgang til personopplysninger. Det var totalt 985 legeprofiler i systemet, mens det bare var 296 leger ansatt ved sykehuset. Enhver lege kunne søke opp informasjon om alle pasienter. Systemets oppsett resulterte i en bot på 400 000 Euro, det vil si ca. 4 millioner kroner.
Sak 3: Tysk chatte-plattform brukte ukrypterte passord
Også i Tyskland, i delstatenBaden-Württemberg, var temaet utilstrekkelig passordsikkerhet. Uvedkommende hadde klart å hacke seg inn i systemene til en chat-tjeneste, for deretter å publisere personopplysninger om brukerne åpent på nett. Under etterfølgende undersøkelser kom det frem at tjenesten hadde lagret brukernes passord ukryptert. Ettersom chatte-tjenesten straks varslet tilsynet om databruddet, viste stor samarbeidsvillighet, hadde svak økonomi og implementerte egnede sikkerhetstiltak, ble boten langt lavere enn i de andre sakene og hva man kanskje kunne forvente. Boten endte på 20 000 Euro.
Sak 4: Gründer slapp billig
I Østerrike fikk en gründer en bot på 4800 Euro fordi et overvåkningskamera filmet deler av fortauet utenfor lokalene. Dette illustrerer at mindre brudd som også er knyttet til eldre teknologi fortsatt håndheves. Boten ble satt lavt fordi den var rettet mot en privatperson med vanlig personinntekt, og kanskje fordi gründeren heller ikke ble varslet av tilsynsmyndigheten på forhånd.
Hva kan vi lære?
Vi kan lære flere lekser.
Lekse 1: Varsle brudd og samarbeid
Saken fra Tyskland viser at proaktivitet kan bety lavere bøter. Forsøk derfor ikke å skjule hva som har skjedd. Sannheten vil fort innhente deg, og da kan det bli dyrt.
Lekse 2: Ansvaret er selvstendig
Det portugisiske sykehuset ble ikke hørt med at problemene med de mange legetilgangene i systemet var forårsaket av et IT-system påtvunget sykehuset av sentrale helsemyndigheter.
Lekse 3: Økonomisk situasjon kan påvirke boten
Egen økonomisk bæreevne kan for privatpersoner påvirke størrelsen på bøtene, slik det også fremgår av fortalen til GDPR.
Det er mindre klart om hvordan virksomheters økonomiske bæreevne spiller inn. Det følger av GDPR art. 83.1 som regulerer bøter at:
"Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr [...] i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende".
Denne ordlyden utelukker ikke vektlegging av egen økonomisk bæreevne for virksomheter. Hva som er virkningsfullt og avskrekkende vil være relativt til økonomien til den som bøtelegges. Relativiteten illustreres av at bøter kan utmåles som prosent av omsetningen (GDPR art. 83 ).
I saken med den tyske chat-leverandør er tilsynelatende svak økonomi vektlagt. I varselet til Bergen kommune vektlegger Datatilsynet at kommunen hadde stort overskudd i året 2017, og at stor økonomisk bæreevne taler for høyere bot.
Lekse 4: Flerfaktorautentisering kan bli krav
I varselet til Bergen kommune anbefaler Datatilsynet også flerfaktorautentisering. Datatilsynet antyder dermed at passord alene ikke nødvendigvis er tilstrekkelig. Grunnen kan være at bruk av passord alene er stadig mer sårbart som autentiseringsmåte. Flere og flere passord blir kjent for hackere, samtidig som teknologisk utvikling gjør vanlige passord stadig svakere.
En utfordring med passord er at sluttbruker påvirker sikkerhetsnivået mer enn ved flere andre autentiseringsmåter. Sluttbrukere er dessverre ofte det svakeste ledd ved sikkerheten. Når systemene som sådan blir stadig bedre sikret, blir sluttbrukerne det svake leddet angripere utnytter.
Sluttbrukere gjenbruker ofte passord på flere plattformer. Dermed vil dårlig sikkerhet på én annen plattform kunne kompromittere en annen.
Passord er ofte også for korte i møte med angripere med stadig mer maskinkraft, og med tilgang til stadig flere avslørte passord. Tilleggsautentisering kan hjelpe, som å generere en tilfeldig nøkkel som sendes til sluttbrukerens mobil per SMS. Biometri, som fingeravtrykk, øyegjenkjenning og ansiktsgjenkjenning er andre tiltak. Biometri har imidlertid ulempen at det regnes som særlige kategorier av personopplysninger (tidligere sensitive personopplysninger). Dermed havner man i en situasjon hvor man må balansere sikkerhetshensyn mot personvernhensyn. Dessuten har det vist seg at f.eks. ansiktsgjenkjenning ikke er så sikkert som tidligere antatt.
Lignende sikkerhetskrav som i GDPR fremgår av den helt nye sikkerhetsloven (2019) og IKT-sikkerhetsloven som for tiden utredes. En forskjell på disse reglene og GDPR er at de gjelder også opplysninger som ikke knytter seg til fysiske personer. Vi kommer med en egen artikkel om disse reglene.
Lekse 5: Sikkerhet er kongen
Når dette er sagt, viser alle sakene at sikkerhet er grunnmuren også i GDPR. Kravet etter GDPR er at sikkerhetsnivået skal være "tilstrekkelig" og "egnet" sett i lys av risikoen (GDPR art. 5.1.f) og i art. 32). IT-sikkerhet blir avgjørende i en verden hvor hacking blir stadig vanligere, kombinert med økt avhengighet av IT-systemer.
Hva er "egnet" sikkerhet?
GDPR nevner bl.a. kryptering som eksempel på hva som kan gi "egnet" sikkerhet. Både i saken fra Bergen kommune og Baden-Württemberg i Tyskland fokuserer tilsynene på passordkryptering, som ikke hadde skjedd.
Det er vanskelig å oppnå tilstrekkelig sikkerhet for lagring av passord uten å kryptere.
Datatilsynet i Norge nevner såkalt hashing kombinert med "salting" i varselet til Bergen kommune, som alternativ til kryptering.
Hashing er en teknikk som gir passordet et unikt fingeravtrykk, uten at dette fingeravtrykket alene avslører passordet, om det ses av uvedkommende. Salting innebærer å legge til tilfeldig tekst eller tegn til passordet før det hashes. Da minskes risikoen for at opplysningene avdekkes ved sammenstillinger av hashede-fingeravtrykk ytterligere.
Kryptering går ut på å endre informasjon til noe som er uleselig for den som ikke sitter med en tilgangsnøkkel (krypteringsnøkkel).
Når kryptering eller hashing ser ut til å være minimumskrav for "egnet" sikkerhet blir neste spørsmål hvor god denne sikringen må være.
For sikkerhetsnerdene
Det finnes flere typer hashingsalgoritmer, med ulik sikkerhet. En mye brukt algoritme for hashing heter SHA-1, og er skjemmet av svakheter. Blant andre Microsoft, Mozilla, Google og Apple har uttalt at selskapene ikke lenger godkjenner SHA-1 SSL sertifikater i sine nettlesere. Bruk av algoritmer som disse, eller andre tilsvarende svake algoritmer, gir neppe "egnet" sikkerhetsnivå for sikring av personopplysninger av mer enn bagatellmessig betydning.
Sikkerheten kan være utilstrekkelig selv om hashingen kombineres med salting. Saltingen har nemlig kjente svakheter.
Når det gjelder krypteringsalgoritmer avdekkes stadig matematiske svakheter.
Virksomheten som skal sikres må dermed være kontinuerlig oppdatert på aktuelle svakheter ved hashings og krypteringsalgoritmene.
Nok en utfordring for krypteringsalgoritmer er at rå maskinkraft i økende grad kan brukes til å knekke dem, selv om rå kraft foreløpig ikke er noen stor trussel. Men kombinert med utnyttelse av en matematisk svakhet i chifferne til en kryptering, kan derimot angrep med dagens maskinkraft kunne utgjøre en trussel.
Utilstrekkelig implementering av kryptering kan også skape sårbarhet. Dette kan sammenlignes med å ha en veldig robust dørlås, samtidig som man legger nøkkelen foran døren.
I sakene som er belyst her fokuserer tilsynelatende datatilsynene først og fremst på om man har kryptert eller ikke, men fokus vil nok fremover øke på sikringstiltakenes styrke og kvalitet.
Advokat Kristian Foss (kf@bull.no) er partner i Bull & Co Advokatfirma, tidligere husadvokat i EVRY og medlem i Fagutvalget for IKT-rett i Juristenes utdanningssenter.
Advokatfullmektig Anders A Christie er tilknyttet Bull & Co sin avdeling for IT, Personvern og Immaterialrett. Han har skrevet masteroppgave om bruk av Big Data innenfor rammene av Personvernforordningen(GDPR).