2020 kontaktade en kund dåvarande försäkringsbolaget Moderna försäkringar, som gick samman med Trygg-Hansa i april 2022, för att informera om en säkerhetsbrist som gjorde det möjligt att komma åt andra kunders uppgifter. Men den person som tog emot samtalet förstod inte att det handlade om en personuppgiftsincident och informationen rapporterades inte vidare. Det framgår av Integritetsskyddsmyndighetens, IMY:s, granskning.
Tipsaren hade upptäckt att kunder som kontaktat kundtjänsten per telefon för en försäkringsoffert fått ett sms eller mejl med en unik webbadress till en offertsida och på den sidan har det funnits klickbara länkar med webbadresser till dokument med försäkringsinformation.
Men dokumenten har haft webbadresser som kunnat modifieras genom att byta ut siffror mot andra siffror och på så sätt har det varit möjligt att hämta andra kunders dokument.
Enligt IMY:s granskning har det varit möjligt att komma åt uppgifter om 650 000 kunder på det här sättet mellan oktober 2018 och februari 2021.
– Handlingarna som har varit åtkomliga för obehöriga har i vissa fall innehållit känsliga personuppgifter, bland annat uppgifter om hälsa som dessutom har haft en hög detaljnivå, så att det exempelvis gått att utläsa hur ett hälsoproblem uppkommit eller detaljer kring ett hälsotillstånd. Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY, i en kommentar.
Bristerna är av en så grundläggande karaktär de borde ha upptäckts och åtgärdats edan innan it-systemet infördes eller åtminstone under den långa period som systemet användes enligt IMY som bedömer att bolaget inte vidtagit lämpliga tekniska åtgärder för att skapa en säkerhetsnivå som är lämplig i förhållande till risken.
Därför utfärdar IMY en sanktionsavgift för Trygg-Hansa på 35 miljoner kronor.