Integritetsskyddsmyndigheten (IMY) ger försäkringsbolaget If Skadeförsäkring AB en reprimand för att ha behandlat personuppgifter i strid med artikel 32.1 dataskyddsförordningen (GDPR).
Av beslutet framgår att IMY inlett tillsyn beträffande If med anledning av ett klagomål. Den klagande har angett att personuppgifter rörande hälsa har överförts via e-post utan att ha skyddats av kryptering hela vägen från avsändaren till mottagaren, dvs. genom en s.k. end-to-end-kryptering. IMY har med anledning av klagomålet inlett tillsyn i syfte att utreda om If har säkerställt en lämplig säkerhetsnivå i enlighet med artikel 32 GDPR för den aktuella behandlingen.
IMY konstaterar i sin granskning att If förvisso skickade mejlet till den klagande med kryptering men att mejlet bara var krypterat under transporten från If:s e-postserver till den e-postserver som tillhandahölls av den klagandes operatör. Det innebar enligt IMY att krypteringen upphörde innan meddelandet hade nått den slutliga mottagaren och att det på så sätt fanns risk för att obehöriga kunde ta del av e-postmeddelandet i klartext efter att den krypterade överföringen hade upphört.
If har uppgett att det nu har höjt säkerheten genom att ha infört nya lösningar för meddelanden till bolagets kunder. Kunderna kan nu bland annat få tillgång till meddelanden via ”Mina sidor” på bolagets webbplats genom att logga in med BankID.
Bristen i bolagets tidigare sätt att skicka mejl gör att IMY utfärdar en reprimand mot bolaget för att ha behandlat personuppgifter i strid med artikel 32.1 GDPR.