Cyberangreb og kæmpe datalæk har i de senere år ramt store virksomheder over hele verden, og milliarder af brugeres data er i hænderne på kriminelle.
Alle slags virksomheder fra Yahoo til utroskabs-platformen Ashley Madison er blevet hacket, og kundernes oplysninger kan bruges til identitetstyveri, afpresning og svindel.
I USA sagsøger ofrene de virksomheder, der ikke formår at passe på data, og senest er kreditbureauet Equifax blevet præsenteret for det største gruppesøgsmål nogensinde – 70 milliarder dollars.
Men hvad med Danmark?
Computerworld har spurgt advokat og specialist i persondata Christian Vinter Hagstrøm fra Bech-Bruun, hvad man som dansker har krav på, hvis en virksomhed mister ens personlige oplysninger i et hackerangreb.
Kan man sagsøge?
Ifølge Christian Vinter Hagstrøm er virksomheden ansvarlig for at sikre data, og det er i princippet muligt at sagsøge for to ting, nemlig økonomisk tab eller integritetskrænkelse.
Det første giver sig selv, og integritetskrænkelse kan for eksempel dække over skade på offferets omdømme, fordi det er kommet frem, at offeret har købt mere eller mindre pinlige ting på internettet.
"I begge tilfælde har du et umiddelbart krav mod virksomheden. Problemet er bare, at erstatning for ikke-økonomisk skade bliver takseret relativt lavt i Danmark. Du har ikke de store muligheder for at få særlig meget ud af den slags krænkelser,” siger Christian Vinter Hagstrøm til Computerworld.
Får man noget ud af det?
I Danmark er der ifølge Christian Vinter Hagstrøm kun få eksempler på, at sagsøgere får erstatning ved datalæk - og hvis det endelig sker, er beløbene små.
”Du skal virkelig snakke for din sag, hvis du skal op over de 25.000 kroner. Og oftest vil det være betydeligt lavere, hvis domstolen overhovedet tilkender godtgørelse.”
I modsætning til andre lande får man i Danmark kun dækket de tab, man kan dokumentere på sit kontoudtog, at man har haft i forbindelse med et hackerangreb.
Man får som udgangspunkt ikke nogen erstatning for det faktum alene, at en virksomhed har sjusket med sikkerheden, og at ukendte it-kriminelle nu kan sælge ens data på internettet.
”Den lidelse er utrolig svær at omsætte økonomisk, og derfor giver danske domstole ikke meget for det,” siger Christian Vinter Hagstrøm.
Hvorfor får man så lidt i Danmark?
Når man i Danmark ikke kan få den store kompensation ved en datalækage, mens amerikanerne sagsøger for kæmpebeløb, så skyldes det, at retssagerne har forskellige formål i Danmark og USA.
I Danmark skal domstolen blot sørge for, at ofret får sine penge igen, mens man i USA også vil understrege for virksomhederne, at det har konsekvenser at sjuske med it-sikkerheden.
"Vi ser andre lande, som anvender helt andre måder at udmåle ikke-økonomiske skade på. Der måler domstolene ikke kun på, hvordan personen har ”lidt” – de skal også straffe virksomheden. Og der skal beløbene have en vis størrelse, hvis man skal have en virksomhed til at rette ind.”
Næste år træder den nye persondataforordning fra EU i kraft, og der er lagt op til store bøder til private virksomheder, der sløser med sikkerheden.