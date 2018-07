Den nye dataforordning var næppe trådt i kraft ved midnat 25. maj i år, før de første anmeldelser af databrud tikkede ind hos Datatilsynet, og en af de allerførste anmeldelser kom fra storbanken Nordea.

Ifølge en aktindsigt, som Dagbladet Børsen har fået, skete der ifølge Nordea et stort databrud den 25. maj kl. 11 om formiddagen, samme dag som EUs omdiskuterede dataforordning trådte i kraft.

Bruddet kunne i følge anmeldelsen blotlægge en mindre gruppe kunders navne og adresser, økonomiske forhold som lån i banken, samt månedlige betalinger til blandt andet fagforeninger og politiske partier. Netop politiske tilhørsforhold er blandt de oplysning, som den nye dataforordning sigter særligt mod at beskytte.

Meget alvorligt databrud

Ifølge Søren Sandfeldt Jakobsen, professor i jura ved Aalborg Universitet, har Nordea, der er Skandinaviens største bank, helt uden tvivl brudt den nye dataforordning.

»Det er meget alvorligt for Nordea med datalækket. Vi er helt oppe i den tunge kategori, fordi der er tale om eksponering af ting som fagforeningsforhold,« siger Søren Sandfeldt Jakobsen til Børsen.

Nordea erkender fejlen og anslog i første omgang, at den berørte 726 personer. Det antal er senere reduceret til 161 personer. For at være ramt skal man være involveret i en frivillig forening og have brugt sit cpr-nummer til at oprette en bankkonto til sin forening.

Rammer aktive i frivillige foreninger

Børsen bruger som et eksempel, hvis en foreningsformand bruger sit cpr-nummer til at oprette en bankkonto til sin forening og giver en fuldmagt til f.eks. foreningens kasserer, så vil kassereren have adgang til at se faste overførsler fra formandens private konto, herunder betalinger til fagforening og politiske partier.

Datatilsynet har med den nye dataforordning mulighed for give dataansvarlige virksomheder, myndigheder og kommuner bøder for overtrædelser af forordningen. Flere eksperter, som Børsen har talt med mener, at overtrædelsen er så alvorlig, at Nordea risikerer en større bøde. I værste fald kan virksomheder blive idømt bøder på op til fire procent af den globale omsætning eller 150 mio. kr., skriver Børsen.

TDC har haft fleste it-hændelser

Ifølge den nye dataforordning er virksomheder, myndigheder og kommuner forpligtet til at indberette IT-sikkerhedshændelser seneste 72 timer efter, at fejlen er opdaget. Det er sket i 331 tilfælde i den første måned efter, at forordningen trådte i kraft. I den periode har Nordea Bank indberettet 23 IT-hændelser. TDC er dog ifølge Børsen den virksomhed, der har haft flest indberetninger.

Datatilsynet har ikke villet kommentere sagerne over for erhvervsavisen.