Sverige: If Skadeförsäkring får reprimand för osäker e-post

Integritetsskyddsmyndigheten (IMY) ger försäkringsbolaget If Skadeförsäkring AB en reprimand för att ha behandlat personuppgifter i strid med artikel 32.1 dataskyddsförordningen (GDPR).

Av beslutet framgår att IMY inlett tillsyn beträffande If med anledning av ett klagomål. Den klagande har angett att personuppgifter rörande hälsa har överförts via e-post utan att ha skyddats av kryptering hela vägen från avsändaren till mottagaren, dvs. genom en s.k. end-to-end-kryptering. IMY har med anledning av klagomålet inlett tillsyn i syfte att utreda om If har säkerställt en lämplig säkerhetsnivå i enlighet med artikel 32 GDPR för den aktuella behandlingen.

IMY konstaterar i sin granskning att If förvisso skickade mejlet till den klagande med kryptering men att mejlet bara var krypterat under transporten från If:s e-postserver till den e-postserver som tillhandahölls av den klagandes operatör. Det innebar enligt IMY att krypteringen upphörde innan meddelandet hade nått den slutliga mottagaren och att det på så sätt fanns risk för att obehöriga kunde ta del av e-postmeddelandet i klartext efter att den krypterade överföringen hade upphört.

If har uppgett att det nu har höjt säkerheten genom att ha infört nya lösningar för meddelanden till bolagets kunder. Kunderna kan nu bland annat få tillgång till meddelanden via ”Mina sidor” på bolagets webbplats genom att logga in med BankID. 

Bristen i bolagets tidigare sätt att skicka mejl gör att IMY utfärdar en reprimand mot bolaget för att ha behandlat personuppgifter i strid med artikel 32.1 GDPR.

Mer information

Myndighet: Integritetsskyddsmyndigheten (IMY)

Land: Sverige

Lagrum: Art. 32 GDPR, art. 58 GDPR

Sanktionsavgift: N/A

Mottagare: If Skadeförsäkring AB

Beslutsnummer: DI-2021-4355

Beslutsdatum: 2023-01-19

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.