Sanktionsavgift på 35 miljoner mot Trygg-Hansa

Efter att ha tagit emot ett tips inledde IMY en tillsyn av försäkringsbolaget Trygg-Hansa. Tipsaren hade fått ett mejl från bolaget med en länk till en offertsida. På offertsidan fanns det klickbara länkar med webbadresser som ledde till dokument med försäkringsinformation. Tipsaren märkte dock att det gick att komma åt andra försäkringstagares dokument, utan någon form av inloggning, genom att bara byta ut några siffror i webblänken. Det framgår av ett pressmeddelande.

– Handlingarna som har varit åtkomliga för obehöriga har i vissa fall innehållit känsliga personuppgifter, bland annat uppgifter om hälsa som dessutom har haft en hög detaljnivå, så att det exempelvis gått att utläsa hur ett hälsoproblem uppkommit eller detaljer kring ett hälsotillstånd. Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY, i en skriftlig kommentar.

IMY:s granskning har visat att det varit möjligt att komma åt kunduppgifter för 650 000 kunder under perioden oktober 2018 till februari 2021. Bland kunduppgifterna finns utöver uppgifter om hälsa, även andra uppgifter såsom ekonomisk information, kontaktuppgifter, personnummer och försäkringsinnehav.

I sitt beslut konstaterar IMY att bristerna har varit av sådan grundläggande karaktär att Trygg-Hansa borde haft möjlighet att upptäcka och åtgärda dessa redan innan det aktuella it-systemet infördes och i vart fall under den långa period som systemet användes.

IMY bedömer att Trygg-Hansa inte har vidtagit lämpliga tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Myndigheten utfärdar därför en administrativ sanktionsavgift på 35 miljoner kronor mot bolaget.

I ett separat pressmeddelande från Trygg-Hansa skriver försäkringsbolaget att IMY:s beslut berör en incident som inträffade i Moderna Försäkringar i november 2020 och rapporterades till IMY i februari 2021. Drygt ett år innan Moderna Försäkringar och Trygg-Hansa gick samman i april 2022.

”Det bör understrykas att incidenten inte berörde Trygg-Hansas kunder,” skriver bolaget.

Moderna Försäkringar åtgärdade säkerhetsbristen omgående efter att försäkringbolaget informerats av IMY.

IMY:s beslut som kommunicerats i dag har föregåtts av en omfattande intern utredning. Slutsatserna i utredningen har varit till stor hjälp både i dialogen med IMY och med de berörda kunderna som informerades av Moderna Försäkringar via brev och/eller telefon under våren 2021. IMY konstaterar att Moderna Försäkringars egna loggar indikerar att 202 kunder sannolikt varit direkt berörda på så sätt att deras uppgifter kan ha visats för obehöriga. I IMY:s beslut framgår det också att ”såvitt Moderna Försäkringar kunnat konstatera, efter granskning av loggar, är det endast tipsaren och IMY som fått åtkomst till dokumenten”.

Läs beslutet mot Trygg Hansa här>>