IMY delar ut reprimand

Written By Martin Orehag

Integritetsskyddsmyndigheten meddelade i sitt beslut den 19 januari 2023 att If Skadeförsäkringar AB behandlat personuppgifter i strid med artikel 32.1 i dataskyddsförordningen genom att, till den klagande, skicka känsliga personuppgifter om denne i ett e-postmeddelande utan en tillräckligt säker krypteringslösning. Den klagande har angett att personuppgifter rörande hälsa har överförts via e-post utan att ha skyddats av en kryptering hela vägen från avsändaren till mottagaren.

IMY har med anledning av klagomålet inlett tillsyn i syfte att utreda om If har säkerställt lämplig säkerhet för den aktuella behandlingen. Eftersom den som är personuppgiftsansvarig enligt artikel 32.1 i dataskyddsförordningen är ansvarig för säkerheten vid behandlingen, behöver den personuppgiftsskyldige bedöma de risker som är förknippande med den behandling av personuppgifter som ska ske och vidta lämpliga tekniska och organisatoriska åtgärder för att hantera de risker som identifieras.

IMY konstaterar att den lösning som If använde för att översända e-postmeddelandet till den klagande endast krypterade e-postmeddelandet under transporten från If:s e-postserver till den e-postserver som tillhandahölls av den klagandes operatör. Det innebar att krypteringen upphörde innan meddelandet hade nått den slutliga mottagaren och utgjorde således inte någon s.k. end-to-end-kryptering. På så sätt fanns det risk för att obehöriga kunde ta del av e-postmeddelandet i klartext efter att den krypterade överföringen hade upphört.

IMY finner att If, vid det aktuella tillfället, inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som var lämplig i förhållande till risken med behandlingen, eftersom If skickat e-postmeddelandet innehållandet känsliga personuppgifter utan att se till att den krypteringslösning som valts skyddade meddelandet hela vägen fram till mottagaren. If behandlade därmed personuppgifter i strid med artikel 32.1 i dataskyddsförordningen.

Advokatfirman MORE Evander arbetar löpande med rådgivning till klienter avseende dataskyddsfrågor. Har ni frågor relaterat till er behandling av personuppgifter, kontakta info@amelegal.se

Martin Orehag
Previous

Nya regler om bolags rörlighet över nationsgränserna inom EU
Next

Finansinspektionens prioriteringar 2023