GDPR i aktion: Hvordan EU bøder virksomheder, der ikke administrerer adgangskoder korrekt

Den Europæiske Unions almindelige databeskyttelsesforordning (GDPR) trådte i kraft for næsten to år siden, og det må siges, at det skaber lige så mange debatter nu, som det gjorde tilbage i 2018. Der er mennesker, der fortsætter med at afvise det som nytteløst et stykke regulering, der ikke har resulteret i andet end en bølge af popups, som EU-borgere skal lukke, hver gang de besøger et nyt websted. Andre mener, at det er det rigtige svar på det stigende antal online trusler, der bringer vores privatliv i fare. For virkelig at vurdere GDPR's succes skal du dog være i stand til at finde ud af, hvad den er nøjagtigt. Lad os starte med de mere synlige effekter af GDPR.

GDPR og brugerne

Mange af jer ved måske, at samtykke popups ikke startede med GDPR. EU har været temmelig fast i sin holdning om, at websteder skal få brugerens tilladelse, før de opbevarer cookies på deres computere i et stykke tid. Mange websteder viste oplysninger om brugen af cookies måde inden 2018, og folk klagede også over dem dengang.

Cookies 'job er ikke kun for at spore dig eller invadere dit privatliv. De er ofte vigtige for, at websteder og onlinetjenester fungerer korrekt. Hvad de nye popupR-tilladelser fra GDPR gjorde, var at give dig muligheden for at bruge webstedet til sit fulde potentiale og samtidig sikre, at annoncørerne ikke er for aggressive i deres sporingsaktiviteter. Har det dog fungeret?

Faktum er, at mange mennesker enten afviser popups eller klikker på knappen "Jeg er enig" uden engang at læse advarslen igennem, hvilket viser, at foranstaltningen til en vis grad ikke er særlig effektiv. Samtidig er der dog brugere, der er klar over, at deres privatliv er vigtigere end en forsinkelse på nogle få sekunder, så popups er ikke helt ubrugelige.

For tjenesteudbydere var dette en af de nemmeste foranstaltninger at gennemføre, og du ville være hårdt presset for at finde et websted, der ikke prøver at fortælle dig, hvilken slags virksomheder der muligvis er ved at kigge på dine data, så set fra dette perspektiv fungerer forordningen. Problemet her ligger mere hos brugerne og deres modvilje mod at uddanne sig selv.

GDPR og onlinetjenesteudbydere

Hvad nogle mennesker måske ikke forstår, er, at pop-up-cookien var langt fra den eneste ændring, som GDPR bragte. For at overholde reglerne var mange virksomheder nødt til at overveje deres risikovurdering, deres databeskyttelsesmekanismer, deres planer for hændelsesrespons og deres afsløringsprocedurer. Nogle af dem vidste, at de ikke var i stand til at gøre det, og de gik ud og valgte at stoppe med at tilbyde deres tjenester i EU. Andre undlod også at gøre det, men de besluttede at fortsætte med at arbejde og håber, at de ikke ville blive fanget eller værre målrettet mod cyberkriminelle.

Dette fungerede åbenbart ikke for alle. I henhold til en GDPR-fin tracker fra CoreView har EU-myndighederne pålagt væsentlige bøder på mere end 28 virksomheder og har hævet over 428 millioner euro (ca. 465 millioner dollars).

Størstedelen af de største overtrædelser består af enten manglende beskyttelse af brugernes information, eksponering af private data gennem andre kanaler eller overdreven indsamling af personlige oplysninger. Det høje antal overtrædelser kan fortolkes på to helt forskellige måder. På den ene side kan du muligvis acceptere dem som et tegn på, at reglerne og forskrifterne fungerer, og virksomheder, der ikke overholder dem, betaler prisen. På den anden side viser imidlertid et hurtigt kig på årsagerne til bøderne, at en hel del forretningsorganisationer har begået nogle ret grundlæggende sikkerhedsfejl, og det er en sikker indsats, at der er masser af andre, der er skyldige i den samme ting, men er endnu ikke opdaget.

Alt i alt har GDPR brug for meget mere tid for at have en betydelig indflydelse på den måde, både brugere og tjenesteudbydere behandler private data på. Og selv når det sker, bør det ikke betragtes som et universalmiddel. GDPR's mål er ikke helt at eliminere de mange trusler mod vores online privatliv, og det kan bestemt ikke stoppe dataovertrædelser. Hvad det imidlertid kan (og forhåbentlig vil) gøre, er at sikre, at ordene "vi tager sikkerhed meget alvorligt" er mere end kun en kedelpladserklæring udstedt i kølvandet på et cyberangreb.