Forsikringskunder kunne se modparts vidneerklæringer: Datatilsynet udtaler alvorlig kritik

13. juli kl. 12:231
Forsikringskunder kunne se modparts vidneerklæringer: Datatilsynet udtaler alvorlig kritik
Illustration: Datatilsynet.
Forsikringsaktieselskabet LB Forsikring får alvorlig kritik af Datatilsynet, fordi selskabet ikke i designet af sin portalløsning ikke levede op til kravene i databeskyttelsesforordningen.
Artiklen er ældre end 30 dage

Datatilsynet udtaler alvorlig kritik i en sag, hvor kunder i LB Forsikring fra 21. februar 2019 til 7. oktober 2021 har haft uautoriseret adgang til dokumenter og e-mails i egne skadessager fra forsikringsselskabets bilskadeafdeling. 

LB Forsikring er et medlemsejet forsikringsaktieselskab med over 400.000 medlemmer, som består af forsikringsgrupperne Lærerstandens Brandforsikring, Runa Forsikring, Bauta Forsikring og LB Forsikring til PFA.

Dokumenterne kunne blandt andet være fra modparter, vidner og automekanikere, og indeholdt personoplysninger som kontaktinformationer, vidneerklæringer, betalingsoplysninger – og i mindst ét tilfælde et personnummer.

LB Forsikring anslår, at der var tale om maksimalt 340 dokumenter, og at et tilsvarende antal registrerede kan være blevet berørte.

Artiklen fortsætter efter annoncen

Det skriver Datatilsynet i en pressemeddelelse.

LB Forsikring har en portalløsning, der faciliterer kommunikationen mellem sagsbehandlerne og medlemmerne. Medlemmerne kan tilgå siden »Min side« ved login med NemID og orientere sig i policer, eventuelle skadessager, uploade dokumenter samt rette henvendelse til forsikringsselskabet.

Det fremgår af sagen, at alt dokumentation, der er synligt på medlemmets 'Min side' bliver tildelt et dokument-id I sagens tilfælde har LB Forsikrings arkiveringssystem tildelt samtlige e-mails fra følgende domæner – hotmail.dk, hotmail.com, outlook.com, outlook.dk, gmail.com, gmail.dk, icloud.com, mme.com, og privat.dk – et dokument-id, der som udgangspunkt har været indstillet til at gøre indholdet synligt på medlemssiden – uagtet, at disse kom fra tredjepart og ikke vedrørte medlemmet. På den baggrund blev al dokumentation fra de pågældende e-maildomæner klassificeret som afsendt af medlemmet.

Det er kun e-mails fra en tredjepart, der er identificeret med det skadesnummer, som er medlemmets skadessag, der potentielt har været synlig på 'Min side.'

Læs også: Microsoft i kovending: Tilbageruller blokering af makroer i Office

LB Forsikring oplyser, at fejlen opstod ved implementeringen af forsikringsselskabets portalløsning i 2019 og fastslår, at de tekniske indstillinger skyldtes en menneskelig fejl.

LB Forsikring havde før implementeringen af arkiveringssystemet i 2019 udarbejdet en implementeringsplan, der indeholdt adskillige tests. Testene skulle blandt andet sikre, at dokumenter blev tildelt det korrekte dokument-ID og blev placeret korrekt, men den pågældende indstilling blev ikke identificeret i testforløbet.

Datatilsynet slår i afgørelsen fast, at det – ud over brugen af alle de anerkendte testformer – allerede fra udviklingen af systemets forretningsprocesser og design, påhviler den dataansvarlige at sikre en effektiv implementering af databeskyttelsesprincipperne ved at indbygge dette i systemunderstøttelsen, så det giver de fornødne garantier i behandlingen af personoplysninger og opfylder kravene i databeskyttelsesforordningen (GDPR).

Det er ikke i tilstrækkelig grad sket, og derfor udtaler Datatilsynet alvorlig kritik af LB Forsikring.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
16. juli kl. 10:03

"...skyldtes en menneskelig fejl." Det skyldes vel altid en menneskelig fejl... Der er vel (forhåbentlig) ingen der giver computerne/systemerne skylden, hva' ? ;-)