IMY (Integritetsskyddsmyndigheten) utfärdar en s k sanktionsavgift på 35 miljoner för mycket allvarliga brister i dataskyddet hos Moderna Försäkringar, som senare kom att tas över av försäkringsbolaget Trygg-Hansa. IMY:s utredning visar att uppgifterna varit otillräckligt skyddade i 2 år.
Efter att ha tagit emot ett tips inledde IMY en tillsyn av försäkringsbolaget Trygg-Hansa. Tipsaren hade fått ett mejl från bolaget med en länk till en offertsida. På offertsidan fanns det klickbara länkar med webbadresser som ledde till dokument med försäkringsinformation. Tipsaren märkte dock att det gick att komma åt andra försäkringstagares dokument, utan någon form av inloggning, genom att bara byta ut några siffror i webblänken.
– Handlingarna som har varit åtkomliga för obehöriga har i vissa fall innehållit känsliga personuppgifter, bland annat uppgifter om hälsa som dessutom har haft en hög detaljnivå, så att det exempelvis gått att utläsa hur ett hälsoproblem uppkommit eller detaljer kring ett hälsotillstånd. Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY.
Allvarlig brist
Att mycket känsliga och uppgifter hälsouppgifter med hög detaljrikedom varit förhållandevis lättillgängliga är allvarligt då det handlar om ett av de största försäkringsbolagen. Försäkringsbolag har långtgående möjligheter att få begär ut mycket känsliga uppgifter om individer i samband med försäkringsärenden som gäller sjukdomsärenden där en försäkringstagare begär ersättning. Det indikerar att branschen behöver skärpa sitt informationssäkerhetsarbete för att se till att lagar och regler följs vid databehandling av kunderna.
Trygg-Hansa har inte själva upptäckt bristerna i samband med övertagandet av Moderna Försäkrings verksamhet vilket får anses vara uppseendeväckande. Det har rimligtvis skett någon form av genomlysning av den övertagna verksamheten och det bör också ha genomförts en Compliance där olika specialister på IT-säkerhet, informationssäkerhet och dataskyddslagstiftning borde ha upptäckt bristerna i IT-systemets webbgränssnitt.
Det är också allvarligt att den tjänsteman hos Trygg-Hansa som mottog tipset från ”tipsaren” inte förstod allvaret i de uppgifterna som lämnades vilket ledde till att den rapporterade incidenten inte vidarebefordrades i organisationen. Det betyder att Trygg-Hansa vid tillfället för incidentens upptäckt inte följt ISO-27001-standarden. Det kan indikera att organisationens medarbetare inte har tillräckliga kunskaper om hur misstänkta informationssäkerhetsincidenter ska rapporteras.
202 personer drabbade
Av IMY:s utredning framgår att minst 202 försäkringstagares mycket känsliga personuppgifter kan ha röjts under den tid då säkerhetsbristerna pågått. Trygg-Hansa uppger idag att man vidtagit åtgärder som gör att det inte längre är möjlighet att byta ut tecken i URL-strängen som visas när en försäkringstagare loggar in på tjänsten.
Trygg-Hansa säger i en skriftlig kommentar så här:
”Moderna Försäkringar åtgärdade säkerhetsbristen omgående efter att försäkringbolaget informerats av IMY. Kundernas säkerhet och integritet är högsta prioritet för alla försäkringsbolag. Trygg-Hansa ser därför mycket allvarligt på att kontrollsystemen i Moderna Försäkringar inte levde upp till bolagets höga krav på en säker it-miljö som ska säkerställa att kundernas personuppgifter skyddas.”
Vidare framhåller man att de drabbade kunderna fanns i Moderna Försäkringars IT-system. Inga kunder hos Trygg-Hansa vid det tillfället är drabbade.
IMY:s granskningsrapport och beslut (PDF)