Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en reprimand mot ett försäkringsbolag för otillräckliga säkerhetsåtgärder i bolagets e-fakturasystem, vilket utgjorde en överträdelse av dataskyddsförordningen (GDPR).
Bakgrund
Försäkringsbolaget lanserade sitt e-fakturasystem år 2012. När systemet uppdaterades 2013 implementerades inga åtgärder för att verifiera referensnummer vid ändring av leveransadress för e-fakturor.
I april 2013 ändrade en registrerad sitt e-fakturaavtal men angav ett felaktigt referensnummer som tillhörde en annan registrerads avtal. Till följd av detta dirigerades den andra registrerades e-fakturor automatiskt till fel internetbank. Den drabbade registrerades namn, adress, avtalsnummer, försäkringsuppgifter och betalningsplaner exponerades därigenom för en obehörig mottagare. Den obehöriga åtkomsten pågick från april 2013 till januari 2024 och omfattade cirka 130 fakturor.
Försäkringsbolaget implementerade intern kontrollsiffroverifiering år 2020 för att förhindra framtida fel, men det aktuella fallet förblev oupptäckt fram till 2023 och rapporterades till Dataombudsmannens byrå i maj 2024. Efter ett tidigare beslut från Dataombudsmannens byrå år 2021 åtog sig försäkringsbolaget att implementera en andra identifierare för identitetsverifiering, med fullständig implementering planerad till slutet av 2025.
Myndighetens bedömning
Dataombudsmannens byrå konstaterade att försäkringsbolagets beställningsförfarande för e-fakturor bröt mot principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR samt mot kravet på inbyggt dataskydd och dataskydd som standard enligt artikel 25.1 GDPR.
Myndigheten bedömde att en personuppgiftsansvarig är skyldig att säkerställa säkerheten för personuppgifter genom lämpliga tekniska åtgärder och att integrera dataskydd i systemet redan vid utformningen. Dessa åtgärder måste implementeras både före och under hela behandlingsperioden, och den personuppgiftsansvarige måste kontinuerligt utvärdera effektiviteten av de valda skyddsåtgärderna.
Dataombudsmannens byrå bedömde att det var otillräckligt att enbart förlita sig på ett overifierat referensnummer för att förhindra obehörig åtkomst och betonade att intrånget kunde ha undvikits om kontrollsiffran hade verifierats innan fakturan dirigerades till ett specifikt konto. Överträdelsen pågick i över fem år efter att GDPR trädde i kraft. Med beaktande av detta, och mot bakgrund av etablerad praxis avseende e-fakturasäkerhet, utfärdade Dataombudsmannens byrå en reprimand mot försäkringsbolaget.
Praktiska konsekvenser
Beslutet understryker att kraven på inbyggt dataskydd och dataskydd som standard enligt artikel 25.1 GDPR ställer konkreta krav på hur system för hantering av personuppgifter utformas och underhålls. Det är inte tillräckligt att införa korrigerande åtgärder i efterhand. Verksamheter som hanterar personuppgifter via automatiserade system måste säkerställa att verifieringsmekanismer finns på plats från start och att dessa löpande utvärderas för att förhindra obehörig åtkomst.
Kontakta oss
TechLaw bistår verksamheter i frågor som rör dataskydd, systemsäkerhet och regelefterlevnad enligt GDPR, inklusive kraven på inbyggt dataskydd och dataskydd som standard. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Dataombudsmannens byrå.