Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att LB Forsikring A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att kunder hos i LB Forsikring haft obehörig tillgång till handlingar och e-postmeddelanden från bilskadeavdelningen under en period från den 21 februari 2019 till den 7 oktober 2021. LB Forsikring fick kännedom om detta när en kund uppgett att han fått tillgång till avdelningens korrespondens med motpart i dennes pågående skadeärende.
Bakgrunden till händelsen var att LB Forsikrings arkivsystem utformats med en inställning som gjorde att e-postmeddelanden under en period var kopplat till ett skadeärende med läsrätt beroende på från vilken domän det skickades. I praktiken innebar det att all dokumentation som identifierades med samma skadenummer, och som skickades från flera utbredda postleverantörer, blev synlig på kundens ”Min sida”. Handlingarna kunde bland annat vara från motparter, vittnen och bilmekaniker, och innehöll personuppgifter som kontaktuppgifter, vittnesuppgifter, betalningsuppgifter, och i minst ett fall ett personnummer. Enligt LB Forsikring har maximalt 340 handlingar och lika många kunder berörts.
Efter en genomgång av ärendet konstaterade Datatilsynet att LB Forsikring, genom att inte ha infört löpande åtgärder för att kontrollera och korrigera inställningarna i portallösningssystemet för dokumentens synlighet, inte har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en nivå av säkerhet som passar de risker som finns i den personuppgiftsansvariges behandling av personuppgifter i enlighet med artikel 32.1 GDPR.
Datatilsynet konstaterade vidare att LB Forsikring i egenskap av personuppgiftsansvarig, redan från utvecklingen av systemets affärsprocesser och design, haft en skyldighet att säkerställa en effektiv implementering av dataskyddsprinciperna genom att bygga in detta i systemstödet, så att det ger nödvändiga garantier i behandlingen av personuppgifter och uppfyller kraven i dataskyddsförordningen. Eftersom LB Forsikring försummat att tillgodose detta i själva utformningen av lösningen har företaget inte uppfyllt principen om inbyggt dataskydd enligt artikel 25.1 GDPR.
Mot denna bakgrund har Datatilsynet framfört allvarlig kritik mot att LB Forsikrings behandling av personuppgifter inte har skett i enlighet med reglerna i artiklarna 25.1 och 32.1 GDPR.