Gjensidige Svigt

GDPR-brud: Gjensidige sender password i klartekst via compliance-afdeling

9/10
Forsikringsselskab: Gjensidige • Berørte sager: gjensidige_sag4 • Lovgrundlag: GDPR Art. 32, Databeskyttelsesloven § 41, GDPR Art. 5, stk. 1, litra f

GDPR-brud (DA)

Hvad skete der

I forbindelse med SAG 4 (asbest) sendte en medarbejder i Gjensidiges compliance-afdeling et dokuments adgangskode i en klartekst-e-mail. Adgangskoden var til et dokument indeholdende personoplysninger om Klager. Kodeordet fulgte et forudsigeligt mønster bestående af selskabsnavnet plus indeværende årstal.

Hvorfor det er ulovligt

GDPR Artikel 32 (Behandlingssikkerhed) kræver, at den dataansvarlige gennemfører "passende tekniske og organisatoriske foranstaltninger" for at sikre et sikkerhedsniveau, der passer til risikoen. At sende et password i klartekst over e-mail er en direkte overtrædelse af denne forpligtelse.

GDPR Artikel 5, stk. 1, litra f fastsætter princippet om "integritet og fortrolighed" — personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed.

Databeskyttelsesloven § 41 fastsætter straffebestemmelser for overtrædelse af GDPR's sikkerhedskrav. Overtrædelse af forpligtelsen til at træffe passende sikkerhedsforanstaltninger, jf. GDPR Art. 32, kan straffes med bøde.

Skærpende omstændigheder

  1. Det var en medarbejder i compliance-afdelingen selv: Netop den afdeling, hvis job er at sikre overholdelse af GDPR, brød reglerne
  2. Passwordet var forudsigeligt: Kodeordet fulgte mønsteret selskabsnavn + indeværende år med udråbstegn. Dette indikerer en systematisk praksis med svage passwords
  3. Indholdet var personfølsomt: Dokumentet indeholdt personoplysninger om en forsikringssag
  4. E-mail er ukrypteret transit: E-mails sendes som standard i klartekst over internettet

Juridisk konsekvens

GDPR-brud kan medføre bøder på op til 4% af den globale årsomsætning eller 20 mio. EUR (det højeste beløb). For et selskab som Gjensidige er dette potentielt milliarder af kroner.

Klager har ret til at indgive klage til Datatilsynet, jf. GDPR Art. 77.

Perspektiv

Når et forsikringsselskabs egen Compliance-afdeling ikke kan overholde basale sikkerhedskrav i en e-mail, rejser det fundamentale spørgsmål om organisationens samlede datasikkerhedsniveau. Hvis dette er standardpraksis — og passwordets format (selskabsnavn + årstal) tyder på det — er det ikke en individuel fejl men et systemisk problem.

← 229 dages sagsbehandling uden besked... Alle lovbrud Ignoreret praksis: Ankenævnets... →