Säkerhetsbrister har gjort att över en halv miljon kunduppgifter varit möjliga att komma åt på nätet. Foto: IMY

Trygg-Hansa tvingas betala 35 miljoner efter säkerhetsbrister

Uppdaterad
Publicerad

Säkerhetsbrister hos försäkringbolaget Trygg-Hansa gjorde det möjligt för utomstående att komma åt kunduppgifter för 650 000 kunder genom internet, under en period på mer än två år.

Efter en tillsyn utfärdar Integritetsskyddsmyndigheten (IMY) nu en sanktionsavgift på 35 miljoner kronor mot företaget.

IMY inledde sin tillsyn av försäkringsbolaget efter ett tips från en person, som hade fått ett mejl från Trygg-Hansa med en länk till en offertsida. På sidan fanns klickbara länkar med webbadresser som ledde till dokument med försäkringsinformation. Det gick dock att komma åt andra försäkringstagares dokument, enbart genom att byta ut några siffror i webblänken.

”Känsliga personuppgifter”

Granskningen har visat att Moderna Försäkringar, som är en del av Trygg-Hansa sedan april 2022, av misstag har gjort det möjligt att via internet komma åt kunduppgifter för 650 000 kunder i mer än två års tid, skriver IMY i sitt tillsynsbeslut.

Under perioden oktober 2018 till februari 2021 ska uppgifter om såväl hälsa, ekonomisk information, kontaktuppgifter, personnummer och försäkringsinnehav gått att nå genom internet. En vidare analys gjorde gällande att 202 kunder sannolikt är direkt berörda på så sätt att uppgifter om dem kan ha visats för någon obehörig.

– Sammantaget har den stora mängden personuppgifter gjort det möjligt att skapa en tydlig bild av en persons privata förhållanden, säger Evelin Palmér, jurist på IMY, i ett pressmeddelande.

Trygg-Hansa: Hände innan sammanslagning

IMY konstaterar vidare att säkerhetsbristerna har varit av ”en sådan grundläggande karaktär” att de borde ha upptäckts och åtgärdats redan innan det aktuella it-systemet infördes, eller åtminstone under den långa period det varit i bruk. Myndigheten har därför beslutat om en administrativ sanktionsavgift mot Trygg-Hansa på 35 miljoner kronor.

Trygg-Hansa skriver i ett mejl till SVT Nyheter att incidenten i Moderna Försäkringar inträffade i november 2020, drygt ett år innan de gick samman, och att Moderna Försäkringar åtgärdade säkerhetsbristen omgående efter att försäkringbolaget informerats av IMY.

”Kundernas säkerhet och integritet är högsta prioritet för alla försäkringsbolag. Vi ser därför mycket allvarligt på att kontrollsystemen i Moderna Försäkringar inte levde upp till bolagets höga krav på en säker it-miljö”, skriver Trygg-Hansa i en kommentar.

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.