It-firma forsøgte at skjule læk af forsikringsdata på danske kunder

Illustration: Bigstock
Dansk it-virksomhed mente, at det var unødvendigt at orientere Datatilsynet om et stort læk af forsikringskunders oplysninger.

1,7 millioner danskeres navne med tilknyttede helbredsoplysninger blev i 90 dage overført til testservere i Ukraine ved en fejl fra firmaet Scalepoint.

Det skriver Politiken, der har fået aktindsigt i sagen hos Datatilsynet.

Scalepoint sørger for at levere digital skadebehandling for 14 danske og 12 udenlandske forsikringsselskaber, og datalækket omfatter næsten 900.000 danske forsikringskunder.

Hændelsen fandt sted i efteråret 2019, og hullet blev lukket, efter det blev fundet den 4. september. Men på det tidspunkt frarådede Scalepoint, at de omfattede forsikringsselskaber meldte sagen til myndighederne, selvom det er et krav i databeskyttelsesloven.

»Det er Scalepoints opfattelse og juridiske vurdering, at det er usandsynligt, at hændelsen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, hvorfor underretning til Datatilsynet og/eller de pågældende personer, som oplysningerne omhandler, er unødvendig«, fremgår det ifølge Politiken i et dokument fra 5. september 2019.

Sagen blev dog efterfølgende meldt til Datatilsynet af et af de berørte forsikringsselskaber, hvor den nu er under behandling.

Overfor Politiken erkender Scalepoints driftsdirektør, Jan Bigum, at det var en fejl fra fraråde selskaberne at anmelde sagen. Han pointerer derudover, at det aldrig var intentionen at skjule noget.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Gert Madsen

"Overfor Politiken erkender Scalepoints driftsdirektør, Jan Bigum, at det var en fejl fra fraråde selskaberne at anmelde sagen. Han pointerer derudover, at det aldrig var intentionen at skjule noget."

Hvilken grund kan der så være til tale nogen fra at opfylde deres oplysningspligt?

  • 11
  • 0
#3 Knud Larsen

DNB den norske bank lader alt sit køre i Ukraine i hvert fald fra 2009. Der er sikkert mange nadre - vi får de tbare ikke at vide. Seruminstituttet sendte 5 mo til Kina. Spørg dit firma om de bruger Scalepoint og flyt i så fald. jeg oplevede at TopDanmark outsourcede en skadssag til en underleverandør (det står der ikek noget om i forsikringsaftalen). Forsikringsselskaber er efterhånden som JustEat skum fløden og lad andre om arbejdet.

  • 2
  • 0
#7 Jens Beltofte

Jf. https://web.scalepoint.com/da/nyheder-da/sikkerhedshaendelse-anmeldt-til... skulle overførslen til deres testmiljø indeholde ca. 250.000 personnumre. Om det kun er danske eller der er udenlandske omtaler de ikke selv.

Jf. deres website er de partner med Ciklum, mon overførslen af de rigtig mange navne, personnumre, helbredsoplysninger m.m. så er sket til et af Ciklums kontorer i Ukraine?

  • 2
  • 0
#8 Louise Klint

Et testmiljø med en så enorm mængde ikke-annonymiseret persondata – jeg synes det lyder helt sort.

Politiken skriver i dag:

Fakta:

De berørte

I alt 1,7 millioner registrerede navne og omkring 1 million individers persondata er blevet kompromitteret på grund af en teknisk fejl hos skadebehandlingsleverandøren Scalepoint.

De berørte selskaber og antal kunder:

Alm. Brand: 157.837

Codan: 278.104

Gjensidige: 97.942

Købstædernes Forsikring: 30.682

LB Forsikring: 112.847

Popermo: 7.793

Topdanmark: 154.568

Topdanmark Livsforsikring: 39.877

I alt: 879.650 kunder

https://politiken.dk/indland/art7920877/Ulykken-ramte-forsikringsdanmark...

  • 1
  • 0
#9 Mads Jeppesen

Ja, som jeg læser artiklen, var der 1 selskab, der anmeldte sagen, og du skal vel spørge dit selskab, om det var dem, der anmeldte det til Datatilsynet. Hvis ikke, så skal du spørge dem om hvorfor de ikke gjorde det, som loven kræver. Men det er nok nemmere blot at skrive en kommentar til en artikel og føle sig krænket.

  • 6
  • 0
#13 Kjeld Flarup Christensen

Det er Scalepoints opfattelse og juridiske vurdering, at det er usandsynligt, at hændelsen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, hvorfor underretning til Datatilsynet og/eller de pågældende personer, som oplysningerne omhandler, er unødvendig

Det er i hvert fald en forfejlet melding.

Havde de i stedet skrevet:

"De overførte data er blevet slettet og personer som har haft adgang til data, har overfor Scalepoint underskrevet en erklæring om, at de ikke har bragt data videre."

Så kan man godt diskutere, om det er noget som skal anmeldes.

Læs lige Datatilsynets vejledning: https://www.datatilsynet.dk/media/7591/haandtering-af-brud-paa-persondat... 3.2 Hvilke brud på persondatasikkerheden kræver anmeldelse?

Hvis oplysningerne omvendt er endt hos en forkert modtager, som den dataansvarlige har stor tillid til og forventer vil tilbagelevere eller destruere oplysningerne efter instruks fra den dataansvarlige, vil dette kunne føre til, at den dataansvarlige vurderer, at der ikke er konsekvenser forbundet med videregivelsen, og at der derfor ikke skal ske anmeldelse til Datatilsynet. Den dataansvarlige bør dog være sikker i sin sag, når modtagerens troværdighed tillægges betydning for denne vurdering. Den dataansvarlige bør samtidig – hvis muligt – sikre sig dokumentation for, at vedkommende ikke længere har rådighed over oplysningerne.

Men, vejledningen siger også, at tidsperioden har betydning. Selvom man godt kan have tillid til en ukrainer (sikkert flere), så er det altså lang tid!

  • 0
  • 0
Log ind eller Opret konto for at kommentere