På bare et år er 89.271 læk fra virksomheder med kontrol over personfølsomme data blevet registreret i EU.
Mange husker nok de mange e-mails, pop-op-vinduer og facebook-opslag omkring EU's beskyttelsesforordning, også kaldet GDPR-forordningen, der trådte i kraft i maj 2018.
Forordningen forpligter blandt andet virksomheder til at rapportere et datalæk til nationale datamyndigheder inden for 72 timer af at have opdaget lækket, såfremt dataene indeholder personfølsomme oplysninger. Det kan være navne, adresser og kreditkortinformationer.
Det er ifølge EU's oplysninger sket 89.271 gange siden maj 2018.
I Danmark modtog Datatilsynet 2722 af denne type anmeldelser i 2018.
Ifølge Cristina Angela Gulisano, direktør i Datatilsynet, spænder de danske sager vidt.
- Det kan være en medarbejder i en kommune, der ved et uheld har sendt et brev med oplysninger om en enkelt borger til den forkerte person.
- Og så har vi også set sager, hvor et stort antal CPR-numre af den ene eller anden grund er blevet offentligt tilgængelige på internettet, siger hun.
EU-borgere kan desuden klage til nationale myndigheder, hvis de mener, at deres persondatasikkerhed er blevet brudt. Siden GDPR-forordningen er 144.376 klager blevet sendt afsted.
Man har kunnet klage til danske myndigheder i årtier, hvis man mente ens data blev brugt ulovligt. Men antallet af oprettede sager i Datatilsynet steg til 11.121 i 2018, efter at have ligget mellem 2900 og 3600 siden 2014.
- Vi har den grad mærket en forskel. Borgerne er blevet mere opmærksomme på deres rettigheder omkring datasikkerhed og gør brug af dem i højere grad, siger Cristina Angela Gulisano.
Oftest er klagerne rettet mod telemarketingselskaber, uopfordrede e-mails eller virksomheders videoovervågning.
Det har blandt andet ført til, at Frankrigs datatilsyn har udstedt en bøde på 50 millioner euro til Google for manglende samtykke til reklamer.
I Østrig har myndighederne givet en bøde på 5280 euro til en bettingcafé, som havde ulovlig videoovervågning.
Med forordningen i ryggen kan de fleste nationale myndigheder udstede bøder på op til fire procent af en virksomheds årlige omsætning og dele sagsoplysninger med andre EU-lande.
Tre EU-lande - Grækenland, Portugal og Slovenien - har endnu ikke ændret deres lovgivning til at stemme overens med GDPR-forordningen.