Etikett: Datainspektionen

AP3 anmäler sig själv till Integritetsskydds-myndigheten

Posted on mars 4, 2021 by - Pension

Tredje AP-fonden meddelar att man kommer att lämna in en rapport om personuppgiftsincident till Integritetsskyddsmyndigheten, tidigare Datainspektionen. Detta sedan det står klart att analysverktyget Google Analytics sparar uppgifter om besökare på fondens hemsida på ett sätt som kan strida mot regelverket. 

Enligt Tredje AP-fonden använder man sedan en längre tid tillbaka använt analysverktyget Google Analytics för att kunna följa utvecklingen av antalet besökare på fondens externa webbplats.

Nu visar det sig att Google Analytics omfattar lagring av besökarnas ip-adresser, som är möjliga att spåra tillbaka till de individer som har besökt sidan. Samma förhållande gäller flera andra hemsidor för statliga och kommunala verksamheter, något som har uppmärksammats av Sveriges Radio. EU-domstolen har sedan tidigare slagit fast att ip-adresser är att betrakta som personuppgifter.

— Tredje AP-fonden har blivit uppmärksammad på att fonden inte har haft funktionen för anonymisering av IP-adresser aktiverad i Google Analytics. Eftersom fonden inte har varit medveten om detta har fonden inte heller informerat besökarna av webbplatsen om denna oavsiktliga lagring av IP-adresser. Tredje AP-fonden kan konstatera att denna hantering har varit felaktig och fonden har nu stängt ned kontot hos Google Analytics och begärt radering av all data, skriver Tredje AP-fonden i ett pressmeddelande.

 

Folksam delade känsliga personuppgifter — anmäler sig till Datainspektionen

Posted on november 3, 2020 by - Allmänt

Folksam meddelar i dag att man vid en intern kontroll har upptäckt att uppskattningsvis 1 miljon individers personuppgifter har delats med digitala samarbetspartner, bland annat Google och Favebook. Vissa av uppgifterna är att betrakta som känsliga. Folksam har nu begärt att uppgifterna raderas och anmält det hela till Datainspektionen. 

De personuppgifter som har delats och som kan betraktas som känsliga kan exempelvis vara att en individ har köpt en facklig försäkring eller en gravidförsäkring, och personuppgifter som personnummer.

Företag som har mottagit personuppgifter från Folksam är exempelvis Facebook, Google, Microsoft, Linkedin och Adobe. Syftet har bland annat varit att analysera vilken information som inloggade kunder och andra besökare har sökt efter på folksam.se. Analyserna har använts för att kunna ge anpassade erbjudanden.

– Vi förstår att det här kan väcka oro hos våra kunder och vi ser allvarligt på det som inträffat. Vi har omedelbart stoppat delningen av de här personuppgifterna och begärt att de raderas. Vårt syfte med detta har varit att analysera och att ge våra kunder anpassade erbjudanden, men tyvärr har vi inte gjort det på helt rätt sätt, säger Jens Wikström, chef för Marknad och försäljning vid Folksam, i en kommentar.

– Det här ska inte få hända och vi arbetar nu hårt för att det aldrig ska hända igen. Vi kartlägger vilka personuppgifter vi delar med våra samarbetspartner och hur vi delar dem. Vi arbetar parallellt med att säkerställa att vi har rutiner och uppdaterade avtal på plats.

Det finns inga uppgifter om att informationen har använts på något otillbörligt sätt.

Allt färre incidenter med personuppgifter inom finans och försäkring

Posted on mars 10, 2020 by - Allmänt

Under 2019 minskade antalet anmälda personuppgiftsincidenter med koppling till finans och försäkring kraftigt. Det framgår av en sammanställning från Datainspektionen. 

Totalt sett har antalet anmälda incidenter med personuppgifter ökat kraftigt jämfört med föregående år, visar sammanställningen. Under 2019 fick Datainspektionen totalt in knappt 4 800 anmälningar om personuppgiftsincidenter, vilket motsvarar en ökning med 23 procent jämfört med 2018.

Den största ökningen av anmälda incidenter har skett inom offentlig sektor, särskilt hos statliga myndigheter och inom hälso- och sjukvården.

Det stora undantaget är branschen finans och försäkring. Där har antalet anmälda incidenter minskat med hela 33 procent, från 81 anmälda incidenter 2018 till 48 anmälda incidenter 2019.

Enligt Datainspektionen beror detta framförallt på att det under 2018 skedde en överrapportering från vissa aktörer inom finans- och försäkringsbranschen, det vill säga att även sådana incidenter anmäldes som egentligen inte var anmälningspliktiga.

Den allra vanligaste typen av incidentrapporter gäller felskickade e-postmeddelanden eller brev. Denna typ av misstag utgör drygt en tredjedel av de anmälda incidenterna.

Här kan du ta del av sammanställning, under förutsättning att du har ett abonnemang på Sak & Liv Premium.


Fyra granskade försäkringsbolag fick GDPR-reprimand av DI

Posted on oktober 23, 2018 by - Allmänt

Datainspektionen har delat ut reprimander till fyra försäkringsbolag efter en granskning av hur väl bolagen följer GDPR-regelverket: Idun, Accept, DARAG och Solid. Även försäkringsförbundet FTF råkade ut för en reprimand. 

Minns du GDPR – EU:s nya direktiv om skydd för personliga data? I våras blev inkorgarna fulla av budskap från när och fjärran om GDPR-anpassning.

Det var inte alldeles enkelt att förstå vad GDPR gick ut på. Tolkningarna gick också i sär mellan olika organisationer om vilka anpassningar som var nödvändiga efter det nya regelverkets införande.

Datainspektionen har nu genomfört sin första granskning av efterlevnaden av GDPR-reglerna. I första hand har man undersökt om olika företag och myndigheter har utsett dataskyddsombud, i enlighet med den nya lagstiftningen.

Bland de granskade branscherna fanns försäkringsbranschen. Totalt undersöktes 412 företag och myndigheter. Granskningen ledde fram till 66 tillsynsärenden. Nu har Datainspektionen beslutat om en reprimand i 57 av dessa ärenden.

Fyra försäkringsbolag har råkat ut för en reprimand för att man inte rapporterat i tid om dataskyddsombud. De fyra bolagen är Idun Liv, Accept Försäkring, DARAG och Solid. Datainspektionen inledde även ett tillsynsärende kring Danica Pension, men det resulterade inte i någon reprimand.

Datainspektionen har möjlighet att vid sidan av reprimanden även döma ut en avgift. Det har dock inspektionen avstått från med hönsyn till att det har gått så kort tid sedan lagstiftningen trädde i kraft. Så här skriver Datainspektionen i sin motivering till detta:

– Det huvudsakliga skälet till varför besluten stannat vid en reprimand istället för en administrativ sanktionsavgift är den relativt korta tid som förflutit sedan den 25 maj 2018.

Datainspektionen pekar ut fackförbunden som en grupp organisationer som har varit dåliga på att följa regelverket om dataskyddsombud. Ett av de fackförbund som får en reprimand är försäkringsbranschens fackförbund FTF.

Försäkringsbranschen först ut i granskning av GDPR-efterlevnad

Posted on juni 10, 2018 by - Allmänt

Datainspektionen meddelade under fredagen att försäkring är en av de branscher som kommer att granskas allra först när Datainspektionen genomför en undersökning av hur väl olika företag och organisationer lever upp till det nya GDPR-regelverket. 

Det som kontrolleras i en första vända är att de företag och myndigheter som är skyldiga att utse ett dataskyddsombud, också har gjort det.

Enligt dataskyddsförordningen är alla myndigheter skyldiga att utse dataskyddsombud. Det gäller även företag, vars kärnverksamhet innebär regelbunden och systematisk övervakning av de registrerade i stor omfattning samt organisationer som i stor omfattning hanterar känsliga personuppgifter eller personuppgifter som rör fällande domar och överträdelser.

Bland de organisationer som har valts ut ut för kontroll finns – förutom myndigheter – privata vårdgivare, kollektivtrafik, fackförbund, teleoperatörer, försäkringsbolag och banker.

Enligt tidningen Pensioner & Förmåner är de försäkringsbolag som ska granskas följande: Danica Pension Försäkringsaktiebolag, Idun Liv Försäkring AB, Accept Försäkringsaktiebolag, DARAG Försäkring AB och Solid Försäkringsaktiebolag. Urvalet av bolag gjorts bland dem som ännu inte anmält något dataskyddsombud.

 

Datainspektionens granskning beräknas vara klar i slutet av augusti.

Här hittar du Datainspektionens beskrivning av det nya GDPR-regelverket.

GDPR! Här är de nya lagarna om dataskydd i finanssektorn

Posted on februari 1, 2018 by - Allmänt

Hört talas om GDPR? Förkortningen står för General Data Protection Regulation och handlar ett EU-direktiv som bland annat styr vilken information som företag får spara om sina kunder. 

EU-direktivet träder i kraft den 25 maj i år och innebär ett antal olika förändringar för den som behandlar personuppgifter. Syftet är bland annat att stärka rättigheterna för den enskilde när det gäller personlig integritet. 

Det här är några av nyheterna i direktivet: 

Dataportabilitet. Den registrerade har rätt att få ut de uppgifter man själv har lämnat, för att föra över dem till en annan tjänst.

• Konsekvensbedömning. Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade, måste det göras en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna.

• Dataskyddsombud. Vissa organisationer som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende, måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor.

 Anmäla incidenter. Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en förlust av uppgifter, måste detta anmälas till Datainspektionen inom 72 timmar. I vissa lägen måste information också gå ut till de registrerade. 

Sanktionsavgifter. Datainspektionen kan komma att utdöma sanktionsavgifter för den som bryter mot reglerna. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan och om man har tjänat ekonomiskt på överträdelsen – samt eventuella andra försvårande eller förmildrande omständigheter.

Den nya lagstiftningen om dataskydd innebär att en rad lagar på finansmarknadsområdet måste skrivas om, i huvudsak för att de hänvisar till lagstiftning som blir inaktuell i och med det nya GDPR-direktivet.

Under torsdagen lade regeringen fram en lagrådsremiss med ändringar av finansmarknadslagstiftningen, på grund av det nya datadirektivet. Även dessa lagändringar är tänkta att börja gälla den 25 maj.   

Här kan du ta del av regeringens lagrådsremiss om dataskydd på finansområdet!