If får reprimand av IMY för felaktig behandling av personuppgifter
Integritetsskyddsmyndigheten har beslutat att utfärda en reprimand mot If för att bolaget anses ha behandlat personuppgifter i strid med dataskyddsförordningen.
Bakgrunden är att IMY tidigare fått in ett klagomål mot If om att bolaget i november 2020 skickade känsliga personuppgifter via e-post, utan tillräckligt skydd för uppgifterna. Mejlet rörde bland annat en medicinsk bedömning av en personskada och omfattade bakgrund, händelseförlopp, diagnos, bedömning, gradering av eventuell invaliditet samt födelsedatum.
Klagomålet ledde fram till att IMY drog igång en utredning för att undersöka om If hade säkerställt en lämplig säkerhetsnivå för skydda av personuppgifterna.
IMY menar nu i ett beslut att Ifs säkerhetsnivå inte var tillräcklig.
Visserligen skickade If ut det mejl som föranleddde klagomålet med kryptering. Men mejlet var krypterat endast mellan Ifs e-postserver och den e-postserver som hanterade den klagandes mejl. Krypteringen upphörde med andra ord innan meddelandet hade nått den slutliga mottagaren. På så vis fanns det risk för att obehöriga kunde ta del av e-postmeddelandet i klartext efter att den krypterade överföringen hade upphört, menade IMY.
If har meddelat IMY att säkerheten nu har utökats genom nya lösningar för meddelanden till bolagets kunder. Bland annat kan kunderna nu få tillgång till meddelanden via ”Mina sidor” på bolagets webbplats där det krävs inloggning med BankID.
Eftersom If har arbetat med att förbättra säkerheten anser IMY att det är frågan om en mindre överträdelse. Dock finns det anledning att ge bolaget en reprimand, menar IMY.
— Bristen i bolagets tidigare sätt att skicka mejl gör att IMY utfärdar en reprimand mot bolaget för att ha behandlat personuppgifter i strid med artikel 32.1 i dataskyddsförordningen, skriver Integritetsskyddsmyndigheten nu i anslutning till sitt beslut.
Här kan du som har ett abonnemang på Sak & Liv Premium ta del av beslutet.