Integritetsskyddsmyndigheten (IMY) har bötfällt Trygg-Hansa Försäkring filial med 35 miljoner kronor för att ha behandlat personuppgifter i strid med dataskyddsförordningen (GDPR).
Av beslutet framgår att IMY, efter att ha tagit emot ett tips, inledde en tillsyn av försäkringsbolaget Trygg-Hansa. Tipsaren hade fått ett mejl från bolaget med en länk till en offertsida. På offertsidan fanns det klickbara länkar med webbadresser som ledde till dokument med försäkringsinformation. Tipsaren märkte dock att det gick att komma åt andra försäkringstagares dokument, utan någon form av inloggning, genom att bara byta ut några siffror i webblänken.
IMY:s granskning har visat att det varit möjligt att komma åt kunduppgifter för 650 000 kunder under perioden oktober 2018 till februari 2021. Bland kunduppgifterna finns utöver uppgifter om hälsa, även andra uppgifter såsom ekonomisk information, kontaktuppgifter, personnummer och försäkringsinnehav.
IMY konstaterar att bristerna har varit av sådan grundläggande karaktär att Trygg-Hansa borde haft möjlighet att upptäcka och åtgärda dessa redan innan det aktuella it-systemet infördes och i vart fall under den långa period som systemet användes. IMY bedömer därför att Trygg-Hansa inte har vidtagit lämpliga tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Trygg-Hansa har således behandlat personuppgifter i strid med artikel 32.1 GDPR. Att ett stort antal personuppgifter, inklusive känsliga uppgifter, under en längre tid har behandlats på ett sätt som inneburit risk för obehörig åtkomst innebär enligt IMY att bristen i säkerheten varit av sådant allvarligt slag att den även innebär en överträdelse av artikel 5.1 (f) GDPR.