Säkerhetsbrister hos Trygg-Hansa har resulterat i att information om 650 000 kunder har varit tillgänglig via internet. Integritetsskyddsmyndigheten (IMY) påför nu en administrativ sanktionsavgift på 35 miljoner kronor på försäkringsföretaget.
Efter att ha mottagit en anmälan inledde IMY en granskning av försäkringsbolaget Trygg-Hansa. Anmälaren hade fått ett mejl från bolaget med en länk till en sida med erbjudanden. På den sidan fanns aktiva länkar med webbadresser som ledde till dokument med information om försäkringar. Anmälaren upptäckte dock att det var möjligt att komma åt andra försäkringstagares dokument utan att logga in, genom att enbart ändra några siffror i webbadressen.
– Handlingarna som har varit åtkomliga för obehöriga har i vissa fall innehållit känsliga personuppgifter, bland annat uppgifter om hälsa som dessutom har haft en hög detaljnivå, så att det exempelvis gått att utläsa hur ett hälsoproblem uppkommit eller detaljer kring ett hälsotillstånd. Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY.
Möjligheten att komma åt uppgifter har funnits i över två år IMY:s undersökning avslöjar att kunduppgifter för 650 000 kunder har varit tillgängliga mellan oktober 2018 och februari 2021. Bland dessa uppgifter finns inte bara hälsorelaterad information, utan även ekonomisk data, kontaktuppgifter, personnummer och information om försäkringar.
IMY fastställer i sitt beslut att bristerna har varit av så grundläggande natur att Trygg-Hansa borde ha identifierat och åtgärdat dem innan det aktuella IT-systemet infördes, eller åtminstone under den långa period som systemet var i bruk.
IMY bedömer att Trygg-Hansa inte har vidtagit tillräckliga tekniska åtgärder för att upprätthålla en adekvat säkerhetsnivå i relation till riskerna. Därför pålägger myndigheten företaget en administrativ sanktionsavgift på 35 miljoner kronor.