It-firma forsøgte at skjule læk af forsikringsdata på danske kunder

14. september 2020 kl. 10:0914
It-firma forsøgte at skjule læk af forsikringsdata på danske kunder
Illustration: Bigstock.
Dansk it-virksomhed mente, at det var unødvendigt at orientere Datatilsynet om et stort læk af forsikringskunders oplysninger.
Christoffer Elmann Ranhauge
Artiklen er ældre end 30 dage
Christoffer Elmann Ranhauge
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

1,7 millioner danskeres navne med tilknyttede helbredsoplysninger blev i 90 dage overført til testservere i Ukraine ved en fejl fra firmaet Scalepoint.

Det skriver Politiken, der har fået aktindsigt i sagen hos Datatilsynet.

Scalepoint sørger for at levere digital skadebehandling for 14 danske og 12 udenlandske forsikringsselskaber, og datalækket omfatter næsten 900.000 danske forsikringskunder.

Hændelsen fandt sted i efteråret 2019, og hullet blev lukket, efter det blev fundet den 4. september. Men på det tidspunkt frarådede Scalepoint, at de omfattede forsikringsselskaber meldte sagen til myndighederne, selvom det er et krav i databeskyttelsesloven.

Artiklen fortsætter efter annoncen

»Det er Scalepoints opfattelse og juridiske vurdering, at det er usandsynligt, at hændelsen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, hvorfor underretning til Datatilsynet og/eller de pågældende personer, som oplysningerne omhandler, er unødvendig«, fremgår det ifølge Politiken i et dokument fra 5. september 2019.

Sagen blev dog efterfølgende meldt til Datatilsynet af et af de berørte forsikringsselskaber, hvor den nu er under behandling.

Overfor Politiken erkender Scalepoints driftsdirektør, Jan Bigum, at det var en fejl fra fraråde selskaberne at anmelde sagen. Han pointerer derudover, at det aldrig var intentionen at skjule noget.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
Emil Bock Nielsen
1. juni kl. 09:45

Kom der aldrig en bøde? Jeg kan ikke se hvad anmeldelsen til datatilsynet endte med :/

  • more_vert
    • insert_linkKopier link
13
Kjeld Flarup Christensen
19. september 2020 kl. 23:16

Det er Scalepoints opfattelse og juridiske vurdering, at det er usandsynligt, at hændelsen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, hvorfor underretning til Datatilsynet og/eller de pågældende personer, som oplysningerne omhandler, er unødvendig

Det er i hvert fald en forfejlet melding.

Havde de i stedet skrevet:

"De overførte data er blevet slettet og personer som har haft adgang til data, har overfor Scalepoint underskrevet en erklæring om, at de ikke har bragt data videre."

Så kan man godt diskutere, om det er noget som skal anmeldes.

Læs lige Datatilsynets vejledning: https://www.datatilsynet.dk/media/7591/haandtering-af-brud-paa-persondatasikkerheden.pdf 3.2 Hvilke brud på persondatasikkerheden kræver anmeldelse?

Hvis oplysningerne omvendt er endt hos en forkert modtager, som den dataansvarlige har stor tillid til og forventer vil tilbagelevere eller destruere oplysningerne efter instruks fra den dataansvarlige, vil dette kunne føre til, at den dataansvarlige vurderer, at der ikke er konsekvenser forbundet med videregivelsen, og at der derfor ikke skal ske anmeldelse til Datatilsynet. Den dataansvarlige bør dog være sikker i sin sag, når modtagerens troværdighed tillægges betydning for denne vurdering. Den dataansvarlige bør samtidig – hvis muligt – sikre sig dokumentation for, at vedkommende ikke længere har rådighed over oplysningerne.

Men, vejledningen siger også, at tidsperioden har betydning. Selvom man godt kan have tillid til en ukrainer (sikkert flere), så er det altså lang tid!

  • more_vert
    • insert_linkKopier link
12
Michael Vestergaard
15. september 2020 kl. 20:48

GF Forsikring står også på deres kundeliste...

Link

  • more_vert
    • insert_linkKopier link
10
Knud Larsen
15. september 2020 kl. 14:35

De outsourcer heller ikke skadesbeahndlingen som de store som f.eks. Top gør.

  • more_vert
    • insert_linkKopier link
9
Mads Jeppesen
15. september 2020 kl. 07:44

Ja, som jeg læser artiklen, var der 1 selskab, der anmeldte sagen, og du skal vel spørge dit selskab, om det var dem, der anmeldte det til Datatilsynet. Hvis ikke, så skal du spørge dem om hvorfor de ikke gjorde det, som loven kræver. Men det er nok nemmere blot at skrive en kommentar til en artikel og føle sig krænket.

  • more_vert
    • insert_linkKopier link
8
Louise Klint
14. september 2020 kl. 20:03

Et testmiljø med en så enorm mængde ikke-annonymiseret persondata – jeg synes det lyder helt sort.

Politiken skriver i dag:

<strong>Fakta:</strong></p>
<p><strong>De berørte</strong></p>
<p>I alt 1,7 millioner registrerede navne og omkring 1 million individers persondata er blevet kompromitteret på grund af en teknisk fejl hos skadebehandlingsleverandøren Scalepoint.</p>
<p>De berørte selskaber og antal kunder:</p>
<p>Alm. Brand: 157.837</p>
<p>Codan: 278.104</p>
<p>Gjensidige: 97.942</p>
<p>Købstædernes Forsikring: 30.682</p>
<p>LB Forsikring: 112.847</p>
<p>Popermo: 7.793</p>
<p>Topdanmark: 154.568</p>
<p>Topdanmark Livsforsikring: 39.877</p>
<p>I alt: 879.650 kunder

https://politiken.dk/indland/art7920877/Ulykken-ramte-forsikringsdanmarks-Amazon-som-kronprinsens-n%C3%A6re-ven-st%C3%A5r-bag

  • more_vert
    • insert_linkKopier link
6
Jens Holm
14. september 2020 kl. 15:08

Jeg ville gerne stemme med fødderne, og flytte til nogle, der ikke bruger scalepoint, men det er svært at finde nogle, der ikke gør :(

  • more_vert
    • insert_linkKopier link
5
Brian Funk
14. september 2020 kl. 14:25

Som forsikret i Alka og tjm (underafdeling af tryg), skal jeg så føle mig krænket?

  • more_vert
    • insert_linkKopier link
3
Knud Larsen
14. september 2020 kl. 12:59

DNB den norske bank lader alt sit køre i Ukraine i hvert fald fra 2009. Der er sikkert mange nadre - vi får de tbare ikke at vide. Seruminstituttet sendte 5 mo til Kina. Spørg dit firma om de bruger Scalepoint og flyt i så fald. jeg oplevede at TopDanmark outsourcede en skadssag til en underleverandør (det står der ikek noget om i forsikringsaftalen). Forsikringsselskaber er efterhånden som JustEat skum fløden og lad andre om arbejdet.

  • more_vert
    • insert_linkKopier link
2
Gert Madsen
14. september 2020 kl. 12:54

"Overfor Politiken erkender Scalepoints driftsdirektør, Jan Bigum, at det var en fejl fra fraråde selskaberne at anmelde sagen. Han pointerer derudover, at det aldrig var intentionen at skjule noget."

Hvilken grund kan der så være til tale nogen fra at opfylde deres oplysningspligt?

  • more_vert
    • insert_linkKopier link
1
Jørgen L. Sørensen
14. september 2020 kl. 12:38

til Scalepoint er ikke ret stor hos mig, når man udtaler "at det aldrig var intentionen at skjule noget" og samtidig fraråder kunderne at overholde lovkravene om anmeldelse til Datatilsynet.

  • more_vert
    • insert_linkKopier link