Forbrugerrådet Tænk efterlyser mere handling fra virksomheder ved datalæk
I Datatilsynets årsrapport 2025 står der, at der blev anmeldt 9.849 brud på persondatasikkerheden - det højeste antal siden maj 2018, hvor anmeldelsespligten blev indført. Ifølge Forbrugerrådet Tænk bliver forbrugerne ofte utilstrækkeligt informeret efter databrud, selv om virksomhederne formelt overholder anmeldelsespligten, påpeger jurist, Ida Nynne Daarbak Reislev.
Hos Forbrugerrådet Tænk er vores erfaring med sager om databrud, at virksomheder ikke yder tilstrækkelig rådgivning til deres kunder, forklarer Ida Reislev, som tidligere har rådgivet virksomheder om datasikkerhed og i dag arbejder politisk med det digitale område hos Tænk.
”Det ser vi også i de sager, hvor der sker noget med borgernes data hos en virksomhed, at mange borgere står tilbage men følelse af, at de ikke bliver taget i hånden, at de ikke ved hvad der sker, og at de ikke bliver taget alvorligt.”, fortæller Ida Reislev.
Det efterlader forbrugerne med en følelse af, at de ikke ved hvad der sker med deres data, og at de ikke bliver taget alvorligt, siger Ida Reislev.
Hos Forbrugerrådet Tænk vurderer vi, at der et godt stykke fra, at alle virksomheder overholder reglerne og har de nødvendige procedurer for dataikkerhed, fortæller Ida Reislev og siger
”Jeg kan jo kun tale ud fra de sager, vi har kendskab til, og der kan jeg sige, at vi ikke synes, datasikkerhed bliver taget alvorligt nok.”
Ansvaret for datasikkerhed skal bo hos ledelsen
I artikel 24 i GDPR står der, at den dataansvarlige repræsenteret af ledelsen skal beslutte, indføre og vedligeholde datasikkerhedsprocedurer.
Ifølge Ida Reislev tager ledelsen ikke altid ansvaret om datasikkerhed alvorligt nok, som betyder, at medarbejdere ikke er klædt på til at rådgive kunder efter et databrud, og hun uddyber:
”Ledelsen skal sørge for, at alle i virksomheden hele kæden ned ved, hvad de skal gøre, hvis der sker noget med deres kunders data. Det handler for ledelsen om at få opkvalificeret de medarbejdere, som sidder med kundernes data, og at de har de nødvendige retningslinjer, samt at ledelsen lægger tilstrækkelige ressourcer i opgaven.”
For Ida Reislev handler det om, at der stadig er ledelser, der ikke prioriterer det databeskyttelsesretlige område tilstrækkeligt højt, og at ledelsen kan have tendens til at lægge ansvaret hos juristen og IT. I de tilfælde bliver det juristen og IT, som bliver dem, der egenhændigt kan sørge for, at virksomheden lever op til krav om databeskyttelse.
Hun forklarer videre, at ledelsen er nødt til at blande sig og tage strategiske og økonomiske beslutninger. Efter Databeskyttelsesreglerne er det ledelsens opgaver at træffe en række centrale beslutninger om virksomhedens datasikkerhed, og det kræver, at ledelsen tager ansvar for dette område. Det har også en stor signalværdi over for medarbejderne, når ledelsen viser, at det er et område de prioriterer, og forventer, at medarbejderne følger virksomhedens datasikkerhedsprocedurer herunder information til deres kunder efter datalæk, afslutter Ida Reislev.
