Det britiske Datatilsynet (ICO) har, basert på de GDPR, nylig ilagt Heathrow Airport (HAL) et overtredelsesgebyr på GBP 120 000 på grunn av mangelfull datasikkerhet. Avviket skjedde ved at en person fant en UBS-nøkkel (bærbar minnepinne) i Kilburn (vest London) som blant annet inneholdt en treningsvideo der personopplysninger knyttet til HAL i form av personnavn, passnummer, fødselsdato, telefonnummer, nasjonalitet mv ble vist i en kort sekvens (utgjorde ca. 1 % av innholdet). HAL sin egen undersøkelse viste at innholdet på minnepinnen hadde blitt lastet opp av en ansatt medarbeider som drev sikkerhetsopplæring og som hadde mistet minnepinnen på vei til eller fra jobben. Videoen var relevant for medarbeiderens arbeide, men HAL var ikke kjent med opplastingen på minnepinnen. Ved ileggelse av gebyret ble det av ICO blant annet lagt vekt følgende:
- UBS nøkkelen var ikke kryptert eller hadde passordbeskyttelse.
- HAL hadde ikke truffet nødvendige sikkerhetsforanstaltninger for å motvirke bruk av personlige hjelpemidler til kopiering av persondata.
- HAL hadde ikke sørget for nødvendig opplæring i relasjon til databeskyttelse og informasjonssikkerhet. Det ble ansett som et skjerpende moment at kun 2 % av de ansatte hadde mottatt opplæring. Tallet var det laveste som ICO hittil hadde erfart datasikkerhet skulle vært høyere prioritert gitt “industry and personal data involved”.
- HAL hadde ikke på plass rutiner som sikret etterlevelse av eksisterende regler knyttet til “use of removeable media”.
- Det var ingen opptegnelser eller kontroll av antall enheter som var i bruk og inneholdt persondata.
- Bruken av flyttbare enheter uten relevant sikring var imot interne regler, men likevel utbredt i hele organisasjonen hvilket HAL var kjent med uten å treffe tiltak.
