GDPR-brud: Gjensidiges Compliance Officer sender password i klartekst

GDPR-brud (DA)

Hvad skete der

I forbindelse med SAG 4 (asbest) sendte Gjensidiges Compliance Officer adgangskoden 'Gjensidige2026!' i en klartekst-e-mail. Adgangskoden var til et dokument indeholdende personoplysninger om Klager.

Hvorfor det er ulovligt

GDPR Artikel 32 (Behandlingssikkerhed) kræver, at den dataansvarlige gennemfører "passende tekniske og organisatoriske foranstaltninger" for at sikre et sikkerhedsniveau, der passer til risikoen. At sende et password i klartekst over e-mail er en direkte overtrædelse af denne forpligtelse.

GDPR Artikel 5, stk. 1, litra f fastsætter princippet om "integritet og fortrolighed" — personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed.

Databeskyttelsesloven § 41 pålægger den dataansvarlige at træffe de fornødne sikkerhedsforanstaltninger mod uautoriseret adgang.

Skærpende omstændigheder

1. Det var Compliance Officer selv: Netop den person, hvis job er at sikre overholdelse af GDPR, brød reglerne
2. Passwordet var forudsigeligt: 'Gjensidige2026!' — selskabsnavnet plus indeværende år med udråbstegn. Dette indikerer en systematisk praksis med svage passwords
3. Indholdet var personfølsomt: Dokumentet indeholdt personoplysninger om en forsikringssag
4. E-mail er ukrypteret transit: E-mails sendes som standard i klartekst over internettet

Juridisk konsekvens

GDPR-brud kan medføre bøder på op til 4% af den globale årsomsætning eller 20 mio. EUR (det højeste beløb). For et selskab som Gjensidige er dette potentielt milliarder af kroner.

Klager har ret til at indgive klage til Datatilsynet, jf. GDPR Art. 77.

Perspektiv

Når et forsikringsselskabs egen Compliance-afdeling ikke kan overholde basale sikkerhedskrav i en e-mail, rejser det fundamentale spørgsmål om organisationens samlede datasikkerhedsniveau. Hvis dette er standardpraksis — og passwordets format (selskabsnavn + årstal) tyder på det — er det ikke en individuel fejl men et systemisk problem.