Trygg-Hansa inte så tryggt enligt IMY

Trygghansas Hemsida; Gdpr, Dataskydds, Imy

­650 000 av Trygg-Hansas kunders personuppgifter har varit åtkomliga på nätet. Detta har resulterat i en så kallad administrativ sanktionsavgift från Integritetsskyddsmyndigheten (IMY) om 35 miljoner kronor.

– Handlingarna som har varit åtkomliga för obehöriga har i vissa fall innehållit känsliga personuppgifter. Bland annat uppgifter om hälsa som dessutom har haft en hög detaljnivå, så att det exempelvis gått att utläsa hur ett hälsoproblem uppkommit eller detaljer kring ett hälsotillstånd. Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY, i ett pressmeddelande.

Anonymt tips

IMY:s tillsyn startade efter att myndigheten tagit emot ett anonymt tips från en person som beskrev hur hen fick en länk till en offertsida av bolaget. Inne på länken gick det att klicka sig vidare till dokument med försäkringsinformation och väl där märkte tipsaren att det gick att komma åt andra personers information genom att byta ut siffror i adressfältet i webbläsaren.

I den efterföljande granskningen konstaterar IMY att det har varit möjligt för vem som helst att komma åt kunduppgifter för 650 000 personer under perioden oktober 2018 till februari 2021. Det har handlat om alltifrån ekonomisk information till uppgifter om kunders hälsa.

Grundläggande brister

IMY menar att bristerna har varit så pass grundläggande att Trygg-Hansa borde haft möjlighet att upptäcka dessa innan bolagets nuvarande it-system infördes och under tiden det har använts. På grund av denna säkerhetsbrist utfärdas därför en administrativ sanktionsavgift om 35 miljoner kronor mot bolaget.

Trygg-Hansa kommenterar

I en kommentar till IMY betonar Trygg-Hansa att incidenten inte berörde försäkringsbolagets kunder utan avsåg ett läckage av Moderna Försäkringar. Moderna Försäkringar och Trygg-Hansa gick samman 2022 och incidenten rapporterades till IMY redan i februari 2021.

— Ingen som var kund i Trygg-Hansa vid tiden för incidenten är berörd av det inträffade. Kundernas säkerhet och integritet är högsta prioritet för alla försäkringsbolag. Trygg-Hansa ser därför mycket allvarligt på att kontrollsystemen i Moderna Försäkringar inte levde upp till bolagets höga krav på en säker it-miljö som ska säkerställa att kundernas personuppgifter skyddas, skriver Trygg-Hansa i en kommentar. 

30 augusti 2023Uppdaterad 2 oktober 2023Reporter Tim Leffler, Fredrik AdolfssonsäkerhetFoto Voister/Trygg-Hansa

Läs mer om ämnet:

Voisters nyhetsbrev

Allt om digitalisering, branschens insikter och smartare teknik.

SENASTE NYTT

Stäng