Danmark: LB Forsikring får allvarlig kritik för bristande efterlevnad av principen om inbyggt dataskydd

Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att LB Forsikring A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR). 

Av beslutet framgår att kunder hos i LB Forsikring haft obehörig tillgång till handlingar och e-postmeddelanden från bilskadeavdelningen under en period från den 21 februari 2019 till den 7 oktober 2021. LB Forsikring fick kännedom om detta när en kund uppgett att han fått tillgång till avdelningens korrespondens med motpart i dennes pågående skadeärende.

Bakgrunden till händelsen var att LB Forsikrings arkivsystem utformats med en inställning som gjorde att e-postmeddelanden under en period var kopplat till ett skadeärende med läsrätt beroende på från vilken domän det skickades. I praktiken innebar det att all dokumentation som identifierades med samma skadenummer, och som skickades från flera utbredda postleverantörer, blev synlig på kundens ”Min sida”. Handlingarna kunde bland annat vara från motparter, vittnen och bilmekaniker, och innehöll personuppgifter som kontaktuppgifter, vittnesuppgifter, betalningsuppgifter, och i minst ett fall ett personnummer. Enligt LB Forsikring har maximalt 340 handlingar och lika många kunder berörts.

Efter en genomgång av ärendet konstaterade Datatilsynet att LB Forsikring, genom att inte ha infört löpande åtgärder för att kontrollera och korrigera inställningarna i portallösningssystemet för dokumentens synlighet, inte har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en nivå av säkerhet som passar de risker som finns i den personuppgiftsansvariges behandling av personuppgifter i enlighet med artikel 32.1 GDPR.

Datatilsynet konstaterade vidare att LB Forsikring i egenskap av personuppgiftsansvarig, redan från utvecklingen av systemets affärsprocesser och design, haft en skyldighet att säkerställa en effektiv implementering av dataskyddsprinciperna genom att bygga in detta i systemstödet, så att det ger nödvändiga garantier i behandlingen av personuppgifter och uppfyller kraven i dataskyddsförordningen. Eftersom LB Forsikring försummat att tillgodose detta i själva utformningen av lösningen har företaget inte uppfyllt principen om inbyggt dataskydd enligt artikel 25.1 GDPR.

Mot denna bakgrund har Datatilsynet framfört allvarlig kritik mot att LB Forsikrings behandling av personuppgifter inte har skett i enlighet med reglerna i artiklarna 25.1 och 32.1 GDPR. 

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 25 GDPR, art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: LB Forsikring A/S

Beslutsnummer: 2021-441-10244

Beslutsdatum: 2022-06-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.