Sanktionsavgift på 35 miljoner mot Trygg-Hansa

Efter att ha tagit emot ett tips inledde IMY en tillsyn av försäkringsbolaget Trygg-Hansa. Tipsaren hade fått ett mejl från bolaget med en länk till en offertsida. På offertsidan fanns det klickbara länkar med webbadresser som ledde till dokument med försäkringsinformation. Tipsaren märkte dock att det gick att komma åt andra försäkringstagares dokument, utan någon form av inloggning, genom att bara byta ut några siffror i webblänken.

– Handlingarna som har varit åtkomliga för obehöriga har i vissa fall innehållit känsliga personuppgifter, bland annat uppgifter om hälsa som dessutom har haft en hög detaljnivå, så att det exempelvis gått att utläsa hur ett hälsoproblem uppkommit eller detaljer kring ett hälsotillstånd. Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY.

Möjligt att komma åt uppgifter i mer än två år

IMY:s granskning har visat att det varit möjligt att komma åt kunduppgifter för 650 000 kunder under perioden oktober 2018 till februari 2021. Bland kunduppgifterna finns utöver uppgifter om hälsa, även andra uppgifter såsom ekonomisk information, kontaktuppgifter, personnummer och försäkringsinnehav.

I sitt beslut konstaterar IMY att bristerna har varit av sådan grundläggande karaktär att Trygg-Hansa borde haft möjlighet att upptäcka och åtgärda dessa redan innan det aktuella it-systemet infördes och i vart fall under den långa period som systemet användes.

IMY bedömer att Trygg-Hansa inte har vidtagit lämpliga tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Myndigheten utfärdar därför en administrativ sanktionsavgift på 35 miljoner kronor mot bolaget.