Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

Känsliga uppgifter skickades okrypterat – skarp kritik mot If

Nyheter
Publicerad: 2023-01-23 10:36
Foto: Håkon Mosvold Larsen / NTB scanpix / TT /

IMY ger If Skadeförsäkring AB en reprimand efter att bolaget skickat känsliga personuppgifter i ett e-postmeddelande utan att använda en tillräckligt säker krypteringslösning.

Integritetsskyddsmyndigheten, IMY, konstaterar i ett beslut att If Skadeförsäkring AB, den 6 november 2020, har behandlat personuppgifter i strid med dataskyddsförordningen.

IMY inledde ett tillsynsärende efter ett klagomål på If Skadeförsäkring.

Den klagande har angett att personuppgifter rörande hälsa har överförts via e-post utan att ha skyddats av kryptering hela vägen från avsändaren till mottagaren, det vill säga genom en så kallad end-to-end-kryptering.

En reprimand

Eftersom If Skadeförsäkring inte använt sig av tillräckligt säker krypteringslösning har bolaget därmed inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen, enligt IMY.

Integritetsskyddsmyndigheten ger därför If Skadeförsäkring AB en reprimand för den konstaterade överträdelsen.

IMY konstaterar att den lösning som If använde för att översända e-postmeddelandet till den klagande endast krypterade e-postmeddelandet under transporten från If:s e- postserver till den e-postserver som tillhandahölls av den klagandes operatör. Det innebar att krypteringen upphörde innan meddelandet hade nått den slutliga mottagaren och utgjorde således inte någon så kallat end-to-end-kryptering. På så sätt fanns det risk för att obehöriga kunde ta del av e-postmeddelandet i klartext efter att den krypterade överföringen hade upphört.

”Med anledning av ovanstående kan If inte anses ha skyddat uppgifterna på ett sådant sätt att endast den avsedda mottagaren kunnat ta del av dem efter att e- postmeddelandet hade levererats till operatörens e-postserver. Vid denna tidpunkt upphörde krypteringen och därmed saknade uppgifterna tillräckligt skydd mot obehörigt röjande av eller obehörig åtkomst till personuppgifterna. Eftersom det rörde sig om känsliga personuppgifter utgjorde det en beaktansvärd risk för integritetsintrång gentemot den klagande”.

Säkrare kommunikation med kunder

If har angett att bolaget, i tiden efter klagomålet, har höjt säkerheten bland annat genom att bolaget har utvecklat och lanserat en ny kommunikationslösning för e- postmeddelanden till bolagets kunder. Inom ramen för denna lösning får If:s kunder tillgång till e-postmeddelanden via ”Mina sidor” på bolagets webbplats. Meddelandet kan läsas på ”Mina sidor” genom att kunden autentiserar sig med BankID.


Dela sidan:
Skriv ut: