Hundratusentals kunder drabbade av Trygg-Hansas bristande integritetsskydd

Integritetsskyddsmyndigheten (IMY) inledde ett tillsynsärende mot Moderna Försäkringar i mars 2021 efter att tips inkommit om bristande behandling av personuppgifter. Moderna Försäkringar är sedan våren 2022 en del av Trygg-Hansa Försäkring filial (Trygg-Hansa).

Genom kontakt med Trygg-Hansas kundtjänst hade kunder tillhandahållits en unik webbadress med en personlig offertsida. Tipsaren hade genom länken kunnat byta ut några siffror i länkarnas adresser och på så sätt hämta andra kunders försäkringsdokument. Uppgifterna i dokumenten hade inte skyddats genom kryptering, utan var tillgängliga i klartext på internet.

Enligt GDPR ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Ju större risk, desto högre krav ställs på skyddsnivån enligt GDPR. IMY konstaterar i beslutet att bland annat personuppgifternas art och omfattning gör att Trygg-Hansas behandling inneburit en stor integritetsrisk. Under två års tid har uppgifter om 650 000 kunder funnits tillgängliga. Dessutom har dokumenten innehållit ett stort antal känsliga uppgifter om varje person, däribland uppgifter om hälsa och privatekonomi. Personuppgiftsbehandlingen har även varit särskilt integritetskänslig genom användningen av personnummer som möjliggjort en tydlig och direkt koppling till enskilda individer.

Mot bakgrund av ovanstående konstaterar IMY att det funnits stora brister i skyddet för personuppgifterna. Bristerna anses även ha varit av så grundläggande karaktär att Trygg-Hansa borde haft möjlighet att upptäcka och åtgärda dem redan innan det aktuella IT-systemet infördes, eller i vart fall under den långa period som systemet användes. Personuppgiftsbehandlingen anses även vara en del av Trygg-Hansas kärnverksamhet vilket medför att de borde ha haft god förmåga att säkerställa en lämplig säkerhet.

IMY:s beslut är ett tydligt exempel på hur den riskbaserade metoden i GDPR får genomslag. Enligt Trygg-Hansa har enbart 202 av de 650 000 kunder vars försäkringsdokument funnits tillgängliga drabbats av att uppgifterna visats för någon obehörig. De känsliga personuppgifterna har enbart visats för tipsaren och IMY. Någon annan obehörig har alltså inte fått åtkomst till uppgifterna.

Trygg-Hansa tilldelas en sanktionsavgift om 35 miljoner kronor. Tillsynsbeslutet i sin helhet går att läsa här.

Denna artikel är skriven av Associate Rebecka Undén.