It-firma forsøgte at skjule læk af forsikringsdata på danske kunder

13 kommentarer.  Hop til debatten
It-firma forsøgte at skjule læk af forsikringsdata på danske kunder
Illustration: Bigstock.
Dansk it-virksomhed mente, at det var unødvendigt at orientere Datatilsynet om et stort læk af forsikringskunders oplysninger.
14. september 2020 kl. 10:09
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

1,7 millioner danskeres navne med tilknyttede helbredsoplysninger blev i 90 dage overført til testservere i Ukraine ved en fejl fra firmaet Scalepoint.

Det skriver Politiken, der har fået aktindsigt i sagen hos Datatilsynet.

Scalepoint sørger for at levere digital skadebehandling for 14 danske og 12 udenlandske forsikringsselskaber, og datalækket omfatter næsten 900.000 danske forsikringskunder.

Hændelsen fandt sted i efteråret 2019, og hullet blev lukket, efter det blev fundet den 4. september. Men på det tidspunkt frarådede Scalepoint, at de omfattede forsikringsselskaber meldte sagen til myndighederne, selvom det er et krav i databeskyttelsesloven.

Artiklen fortsætter efter annoncen

»Det er Scalepoints opfattelse og juridiske vurdering, at det er usandsynligt, at hændelsen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, hvorfor underretning til Datatilsynet og/eller de pågældende personer, som oplysningerne omhandler, er unødvendig«, fremgår det ifølge Politiken i et dokument fra 5. september 2019.

Sagen blev dog efterfølgende meldt til Datatilsynet af et af de berørte forsikringsselskaber, hvor den nu er under behandling.

Overfor Politiken erkender Scalepoints driftsdirektør, Jan Bigum, at det var en fejl fra fraråde selskaberne at anmelde sagen. Han pointerer derudover, at det aldrig var intentionen at skjule noget.

13 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
13
19. september 2020 kl. 23:16

Det er Scalepoints opfattelse og juridiske vurdering, at det er usandsynligt, at hændelsen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, hvorfor underretning til Datatilsynet og/eller de pågældende personer, som oplysningerne omhandler, er unødvendig

Det er i hvert fald en forfejlet melding.

Havde de i stedet skrevet:

"De overførte data er blevet slettet og personer som har haft adgang til data, har overfor Scalepoint underskrevet en erklæring om, at de ikke har bragt data videre."

Så kan man godt diskutere, om det er noget som skal anmeldes.

Læs lige Datatilsynets vejledning: https://www.datatilsynet.dk/media/7591/haandtering-af-brud-paa-persondatasikkerheden.pdf 3.2 Hvilke brud på persondatasikkerheden kræver anmeldelse?

Hvis oplysningerne omvendt er endt hos en forkert modtager, som den dataansvarlige har stor tillid til og forventer vil tilbagelevere eller destruere oplysningerne efter instruks fra den dataansvarlige, vil dette kunne føre til, at den dataansvarlige vurderer, at der ikke er konsekvenser forbundet med videregivelsen, og at der derfor ikke skal ske anmeldelse til Datatilsynet. Den dataansvarlige bør dog være sikker i sin sag, når modtagerens troværdighed tillægges betydning for denne vurdering. Den dataansvarlige bør samtidig – hvis muligt – sikre sig dokumentation for, at vedkommende ikke længere har rådighed over oplysningerne.

Men, vejledningen siger også, at tidsperioden har betydning. Selvom man godt kan have tillid til en ukrainer (sikkert flere), så er det altså lang tid!

12
15. september 2020 kl. 20:48

GF Forsikring står også på deres kundeliste...

Link

10
15. september 2020 kl. 14:35

De outsourcer heller ikke skadesbeahndlingen som de store som f.eks. Top gør.

9
15. september 2020 kl. 07:44

Ja, som jeg læser artiklen, var der 1 selskab, der anmeldte sagen, og du skal vel spørge dit selskab, om det var dem, der anmeldte det til Datatilsynet. Hvis ikke, så skal du spørge dem om hvorfor de ikke gjorde det, som loven kræver. Men det er nok nemmere blot at skrive en kommentar til en artikel og føle sig krænket.

8
14. september 2020 kl. 20:03

Et testmiljø med en så enorm mængde ikke-annonymiseret persondata – jeg synes det lyder helt sort.

Politiken skriver i dag:

<strong>Fakta:</strong></p>
<p><strong>De berørte</strong></p>
<p>I alt 1,7 millioner registrerede navne og omkring 1 million individers persondata er blevet kompromitteret på grund af en teknisk fejl hos skadebehandlingsleverandøren Scalepoint.</p>
<p>De berørte selskaber og antal kunder:</p>
<p>Alm. Brand: 157.837</p>
<p>Codan: 278.104</p>
<p>Gjensidige: 97.942</p>
<p>Købstædernes Forsikring: 30.682</p>
<p>LB Forsikring: 112.847</p>
<p>Popermo: 7.793</p>
<p>Topdanmark: 154.568</p>
<p>Topdanmark Livsforsikring: 39.877</p>
<p>I alt: 879.650 kunder

https://politiken.dk/indland/art7920877/Ulykken-ramte-forsikringsdanmarks-Amazon-som-kronprinsens-n%C3%A6re-ven-st%C3%A5r-bag

6
14. september 2020 kl. 15:08

Jeg ville gerne stemme med fødderne, og flytte til nogle, der ikke bruger scalepoint, men det er svært at finde nogle, der ikke gør :(

5
14. september 2020 kl. 14:25

Som forsikret i Alka og tjm (underafdeling af tryg), skal jeg så føle mig krænket?

3
14. september 2020 kl. 12:59

DNB den norske bank lader alt sit køre i Ukraine i hvert fald fra 2009. Der er sikkert mange nadre - vi får de tbare ikke at vide. Seruminstituttet sendte 5 mo til Kina. Spørg dit firma om de bruger Scalepoint og flyt i så fald. jeg oplevede at TopDanmark outsourcede en skadssag til en underleverandør (det står der ikek noget om i forsikringsaftalen). Forsikringsselskaber er efterhånden som JustEat skum fløden og lad andre om arbejdet.

2
14. september 2020 kl. 12:54

"Overfor Politiken erkender Scalepoints driftsdirektør, Jan Bigum, at det var en fejl fra fraråde selskaberne at anmelde sagen. Han pointerer derudover, at det aldrig var intentionen at skjule noget."

Hvilken grund kan der så være til tale nogen fra at opfylde deres oplysningspligt?

1
14. september 2020 kl. 12:38

til Scalepoint er ikke ret stor hos mig, når man udtaler "at det aldrig var intentionen at skjule noget" og samtidig fraråder kunderne at overholde lovkravene om anmeldelse til Datatilsynet.