Luxemburgs dataskyddsmyndighet Commission Nationale pour la Protection des Données (“CNPD”) har bötfällt ett försäkringsbolag med 135 000 euro för brott mot artiklarna 5.1 (f), 32.1 (a), 32.1 (b), 33.1 och 33.5 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en anställd hos försäkringsbolaget den 19 oktober 2018 skickat ett e-postmeddelande till en oinvolverad tredje part istället för den registrerade. Händelsen inträffade då den anställde av misstag angett fel e-postadress. Förutom namn och kön på den registrerade innehöll e-postmeddelandet också detaljerad information om den registrerades sjukdomar. Därutöver innehöll e-postmeddelandet bilagor som beskrev olika sjukdomar som den registrerade uppgett i samband med att en livförsäkring ingåtts med försäkringsbolaget.
Den 29 november 2018 inträffade samma incident. Det andra felaktiga e-postmeddelandet innehöll, förutom den registrerades namn, mycket specifika frågor om en viss sjukdom, efternamnet på livförsäkringsläkaren, adressen till läkaren och två tomma blanketter relaterade till den sjukdom som ska fyllas i av den registrerade eller hans läkare.
Efter en genomgång av de två händelserna konstaterar CNPD att myndigheten inte informerats om dataintrånget i tid i enlighet med artikel 33 GDPR. Försäkringsbolaget har enligt CNPD inte heller uppfyllt sin dokumentationsskyldighet enligt artikel 33.5 GDPR. Vidare konstaterar CNPD att försäkringsbolaget inte genomfört lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de registrerade. Mot bakgrund av detta bötfällde CNPD försäkringsbolaget med 135 000 euro.