AEPD sanktionerar också små och medelstora företag och egenföretagare för slarv med sina klienters data

Den spanska byrån för Dataskydd (AEPD) har nyligen sanktionerade två små och medelstora företag: den första, efter att ha skickat, via e-post, känslig information utan att vidta lämpliga säkerhetsåtgärder; och i en annan fil har den utdömt böter för förlust av ett USB-minne som innehöll personlig kunddata utan att vara ordentligt krypterad. I båda fallen undvek inte argumentet om ”specifikt mänskligt fel” ansvar, eftersom AEPD förstod att de misslyckanden visade på brister i erforderliga tekniska och organisatoriska åtgärder enligt den allmänna dataskyddsförordningen (GDPR).

Resolutionerna är särskilt relevanta för egenföretagare och småföretag, som hanterar kunddatabaser, historik, fakturor eller åtkomstuppgifter, med reducerade strukturer och utan avdelningar specialiserade på att följa RGPD. AEPD krävde inte upprepning eller ackreditering av faktisk skada för att bedöma intrång, utan analyserade istället om det fanns rimliga kontroller enligt tillhörande risk till de uppgifter som behandlas, enligt föreskrifterna.

Budskapet är tydligt för alla professionella som skickar dokumentation per post eller lagrar data på bärbara enheter: en enstaka incident kan aktivera en sanktionsprocedur om den avslöjar frånvaron av minimiprotokoll. Som Pere Romero, finansdirektör för CDMON, förklarar, ”det är inte nödvändigt att det finns en upprepning, inte heller för att effektiv skada ska bevisas”, eftersom Systemets axel är proaktivt ansvar och förmågan att visa flit.

  1. En enda tillsyn är tillräckligt för att AEPD ska sanktionera småföretag för sina kunders data
  2. Skillnaden mellan ett förbiseende och en kränkning beror på förmågan att bevisa
  3. Åtgärderna för att undvika sanktioner är inte komplicerade, men de måste implementeras och dokumenteras
  4. Den omedelbara reaktionen efter händelsen påverkar den slutliga bedömningen

En enda tillsyn är tillräckligt för att AEPD ska sanktionera småföretag för sina kunders data

Artikel 32 i GDPR kräver implementering lämpliga tekniska och organisatoriska åtgärder för att garantera en säkerhetsnivå som är lämplig för risken, en formulering som flyttar fokus från det isolerade felet till det förebyggande systemet. ”Nyckeln här är ”lämplig för risken”, inte ”total frånvaro av fel”, säger Romero när han analyserar hur AEPD bedömer denna typ av situation och hur kravet på proportionalitet tolkas. Inom denna ram är det avgörande att bevisa lämpliga tekniska och organisatoriska åtgärder för att garantera en säkerhetsnivå som är lämplig för risken.

När det gäller e-post kan AEPD anse att sändning av okrypterad data eller utan att använda blindkopia i flera kommunikationer var förutsägbar och undvikbar genom enkla protokoll. När det gäller rutinmässiga processer kan bristen på grundläggande kontroller tolkas som bristande strukturell noggrannhet i enlighet med GDPR-kriterierna, särskilt om dessa är vanliga affärspraxis.

När det gäller det förlorade USB-minnet ökar frånvaron av kryptering eller tekniska restriktioner för bärbara enheter exponeringsnivån och förstärker bedömningen av bristande efterlevnad. ”Felet avslöjar avsaknad av grundläggande kontroller i rutinprocesser”, vidhåller experten, som framhåller att AEPD undersöker vilka hinder som fanns före händelsen och inte bara vad som hände efteråt för att bedöma den tidigare noggrannheten.

Skillnaden mellan ett förbiseende och en kränkning beror på förmågan att bevisa

För egenföretagare och små och medelstora företag är den centrala frågan inte att eliminera alla risker, utan kunna bevisa att åtgärder vidtagits rimliga och förenliga med den typ av data som behandlas. ”Det som är relevant är inte att det har skett ett mänskligt misstag, utan om organisationen kan visa att den hade gjort allt som rimligen krävdes för att förhindra det”, säger Romero när han flyttar debatten till området företagsledning och ekonomiskt ansvar.

Denna ackrediteringskapacitet vilar på intern dokumentation, som kan bli det avgörande elementet i en sanktionsfil som behandlas av AEPD. ”I denna fråga, ”dokumentära bevis är det som kan avgöra en fil,” varnar, med hänvisning till register över behandlingsaktiviteter, riskanalyser, kontrakt med teknikleverantörer eller bevis på personalutbildning som stöder noggrannhet.

Pere Romero är finansdirektör för CDMON.

Logiken i GDPR bygger på principen om proaktivt ansvar, vilket kräver inte bara efterlevnad, utan också bevis på att den är uppfylld före en eventuell inspektionsåtgärd av AEPD. ”GDPR bygger på principen om proaktivt ansvar”, påminner Romero och förklarar att det inte är nödvändigt att bevisa specifik skada om det förebyggande systemet var otillräckligt för den antagna risknivån.

Vill du hålla dig uppdaterad med sådana här nyheter?

Prenumerera på vårt nyhetsbrev för att bli informerad om allt som påverkar ditt företag.

Åtgärderna för att undvika sanktioner är inte komplicerade, men de måste implementeras och dokumenteras

För småföretag inkluderar det rimliga minimum intern dataskyddspolicy, adekvata informationsklausuler, databehandlingskontrakt och en dokumenterad riskanalys, även om den är förenklad. Till detta kommer grundläggande tekniska åtgärder som t.ex starka lösenord, åtkomstkontroll genom profiler, automatisk enhetsblockering och regelbundna säkerhetskopieringar; alla överensstämde med kraven i RGPD och med den operativa verkligheten för en egenföretagare.

”Reglerna Det kräver inga stora investeringar, men det gör det kräver ordning, omdöme och samstämmighet”, Romero påpekar när han avmystifierar tanken att efterlevnad endast är tillgänglig för stora företag. Enligt hans uppfattning är dokumentationsvolymen inte den avgörande faktorn, utan samstämmigheten mellan den identifierade risken och de åtgärder som vidtas som i efterhand kan ackrediteras till AEPD vid en eventuell inspektion.

På bärbara enheter minskar kryptering och stark autentisering avsevärt exponeringen i händelse av förlust eller stöld, medan när du använder e-post kan implementering av automatiska regler eller interna protokoll förhindra felaktig sändning. Frånvaron av dessa försiktighetsåtgärder, när databehandling är vanligt förekommande, gör det svårt att hävda att händelsen var oförutsägbar i enlighet med GDPR-standarder och kan förvärra bedömningen av beteendet.

När väl felet inträffar, Efterföljande noggrannhet kan förvärra eller mildra situationen inför AEPD. ”Efterföljande dålig ledning kan vara allvarligare än den initiala incidenten”, varnar Romero och beskriver vikten av omedelbar inneslutning och dokumenterad intern analys som en del av den nödvändiga noggrannheten. Svaret ska vara snabbt och strukturerat för att undvika stora konsekvenser och visa engagemang.

Att begränsa åtkomsten till det påverkade systemet, ändra komprometterade autentiseringsuppgifter och logga intrånget internt är bland de första stegen som bör tas utan dröjsmål. Dessutom, om det finns en risk för de berörda personernas rättigheter och friheter, Anmälan till AEPD måste göras inom högst 72 timmar, och i fall av hög risk är det också nödvändigt att kommunicera det till berörda parter i enlighet med bestämmelserna i RGPD.

Det som i slutändan kan minska risken för sanktioner är inte frånvaron av fel, utan förmågan att visa snabba åtgärder, transparens och förbättrade kontroller efter incidenten. ”Compliance betyder inte absolut perfektion, utan snarare förmågan till förebyggande, reaktion and demonstration of diligence”, sammanfattade Romero när han sammanfattade den standard som AEPD tillämpar i den här typen av filer och som markerar skillnaden mellan en hanterad förbiseende och en bekräftad överträdelse.

Freja
Freja

Jag heter Freja och är redaktör på Dagoja, där jag specialiserar mig på sysselsättningsnyheter och innovation. Med tio års erfarenhet inom journalistik erbjuder jag ingående analyser av arbetsmarknadstrender och påverkan av framväxande teknologier. Passionerad av professionell empowerment, strävar jag efter att ge strategisk information för att hjälpa våra läsare att lyckas i sina karriärer.