Verzekeraar zwaar beboet voor jarenlange onzorgvuldigheid met klantendata

De Zweedse verzekeringsmaatschappij Trygg-Hansa heeft een GDPR-boete van bijna drie miljoen euro (35 miljoen kroon) om de oren gekregen.

Nadat aan het licht is gekomen dat verzekeraar Trygg-Hansa jarenlang erg onvoorzichtig is omgesprongen met data van zijn klanten, heeft het bedrijf voor die schending van de GDPR een stevige boete gekregen van de Zweedse autoriteit voor privacybescherming. De IMY presenteerde Trygg-Hansa met een betaalverzoek voor 35 miljoen Zweedse kroon, ongeveer drie miljoen euro.

Kinderspel

De bal ging aan het rollen nadat een klant van dochterbedrijf Moderna Försäkringar had ontdekt dat het mogelijk was om toegang te krijgen tot de backend van Trygg-Hansa, via links in offertes die naar klanten werden gestuurd in een sms of e-mail.

Elke link bevatte een unieke URL die leidde naar de offertepagina van de verzekeringsmaatschappij. De backend was gewoon toegankelijk zonder authenticatie; het enige dat je moest doen was het klantennummer erin aanpassen. Die nummers bleken gewoon opeenvolgend te zijn, niet meteen een gesofisticeerde hack. Meer dan dat was er dus niet nodig om privé documenten te bekijken van het account achter elk nummer.

lees ook

Meta gaat zich eindelijk aan GDPR-regels houden rond gerichte advertenties

Mogelijke gevolgen

Op die manier zijn tussen oktober 2018 en februari 2021 de gegevens van ongeveer 650.000 klanten al die tijd quasi onbeschermd geweest. De IMY tilde dan ook zwaar aan die lange periode.

De lijst van potentiële gegevens die zomaar te grabbel lagen is uitgebreid:

  • Persoonlijke data
  • Gezondheidsinformatie
  • Details over de voorwaarden van overeenkomsten
  • Financiën
  • Contactgegevens
  • De Zweedse versie van rijksregisternummers
  • Details over verzekeringspolissen

Voorlopig kon de IMY al 202 gevallen bevestigen van ongeautoriseerde personen die toegang kregen tot bepaalde data, maar dat getal kan slechts het begin zijn. De potentiële schade was zo mogelijk nog veel groter, zulke data zijn enorm aanlokkelijk voor allerlei vormen van cybercriminaliteit. Vandaar de stevige boete voor Trygg-Hansa. Wie het Zweeds een beetje beheerst of dat alvast wil oefenen, die kan de volledige beslissing van de IMY online lezen.

In juli van dit jaar haalde de Zweede privacy-autoriteit al een keer zwaar uit naar Tele2, voor GDPR-inbreuken met Google Analytics. Toen was de boete echter nog niet zo groot als nu. Intussen kwam de Belgische Gegevensbeschermingsautoriteit eerder deze week in het nieuws, omdat de instelling bijna vierhonderd klachten heeft geseponeerd.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.