Alvorlig kritik: Manglende overholdelse af princippet om databeskyttelse gennem design hos LB Forsikring A/S

Dato: 27-06-2022

Datatilsynet udtaler alvorlig kritik i en sag, hvor kunder i LB Forsikring A/S har haft uautoriseret adgang til dokumenter og e-mails i egne skadessager fra forsikringsselskabets bilskadeafdeling.

Journalnummer: 2021-441-10244

Resumé

LB Forsikring A/S’ arkiveringssystem var designet med en indstilling, der gjorde, at e-mails i en periode blev tilknyttet en skadessag med læserettigheder alt efter hvilket domæne, det var afsendt fra. Det betød i praksis, at al dokumentation, der var identificeret med samme skadesnummer – og som var afsendt fra flere udbredte mailudbydere – blev synlig på kundens ”Min side”. Dokumenterne kunne bl.a. være fra modparter, vidner og automekanikere, og indeholdt personoplysninger som kontaktinformationer, vidneerklæringer, betalingsoplysninger – og i mindst ét tilfælde et personnummer. LB Forsikring A/S har anslået, at der var tale om maksimalt 340 dokumenter, og at et tilsvarende antal registrerede kan være blevet berørte.

LB Forsikring A/S havde før implementeringen af arkiveringssystemet i 2019 udarbejdet en implementeringsplan, der indeholdt adskillige tests. Testene skulle bl.a. sikre, at dokumenter blev tildelt det korrekte dokument-ID og blev placeret korrekt, men den pågældende indstilling blev ikke identificeret i testforløbet.

Datatilsynet slog fast, at det – ud over brugen af alle de anerkendte testformer – allerede fra udviklingen af systemets forretningsprocesser og design, påhviler den dataansvarlige at sikre en effektiv implementering af databeskyttelsesprincipperne ved at indbygge dette i systemunderstøttelsen, så det giver de fornødne garantier i behandlingen af personoplysninger og opfylder kravene i databeskyttelsesforordningen (GDPR).

Ved udvikling af en portalløsning som LB Forsikring A/S’ arkiveringssystem, hvor der skal gives adgang til opbevarede dokumenter med personoplysninger i, er det ikke i overensstemmelse med det aktuelle tekniske niveau, hvis et maildomæne alene tillægges vægt i henhold til, hvilke dokumenter der gives adgang til. Herudover vil det være en del af det aktuelle tekniske niveau, at den dataansvarlige indbygger opfølgende kontroller, der sikrer, at en sådan automatisk proces alene giver den korrekte adgang.

Eftersom at LB Forsikring A/S forsømte at imødekomme dette i selve designet af løsningen, allerede inden behandlingen blev tilrettelagt, blev det grundlæggende princip om integritet og fortrolighed ikke overholdt.

På den baggrund udtaler Datatilsynet alvorlig kritik af LB Forsikring A/S.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at LB Forsikring A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1 og artikel 25, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

LB Forsikring A/S, herefter (”LB”), har den 30. september 2021 anmeldt et brud på persondatasikkerheden. Den 5. oktober 2021 har LB sendt en opfølgende anmeldelse til Datatilsynet.

Det fremgår af sagen, at medlemmer af LB har haft uautoriseret adgang til dokumenter og e-mails fra bilskadeafdelingen i en periode fra den 21. februar 2019 til den 7. oktober 2021. Forsikringsselskabet blev bekendt med dette da en kunde oplyste, at han havde adgang til afdelingens korrespondance med en modpart i hans igangværende skadessag.

LB har til sagen oplyst, at deres portalløsning faciliterer kommunikationen mellem sagsbehandlerne og medlemmerne ved tegning af police og skadesbehandling. Medlemmerne kan tilgå siden ”Min side” ved login med NemID og orientere sig i policer, eventuelle skadessager, uploade dokumenter samt rette henvendelse til forsikringsselskabet.

Det fremgår af sagen, at alt dokumentation, der er synligt på medlemmets ”Min side” bliver tildelt et dokument-ID. I sagens tilfælde har LBs arkiveringssystem tildelt samtlige e-mails fra følgende domæner – {hotmail.dk - hotmail.com - outlook.com - outlook.dk - gmail.com - gmail.dk - icloud.com - mme.com - privat.dk} – et dokument-ID, der – som udgangspunkt – har været indstillet til at gøre indholdet synligt på medlemssiden – uagtet, at disse kom fra tredjepart og ikke vedrørte medlemmet. På den baggrund blev al dokumentation fra de pågældende e-maildomæner klassificeret som afsendt af medlemmet.

LB har til sagen oplyst, at fejlen har sin oprindelse ved implementeringen af forsikringsselskabets portalløsning i 2019. LB fastslår, at de tekniske indstillinger, herunder indstillingen af klassifikation af bestemte e-maildomæner med et bestemt dokument-ID, skyldtes en menneskelig fejl.

Det fremgår af sagen, at hændelsen udelukkende omhandler bilskadeafdelingen. Det er kun e-mails fra en tredjepart, der er identificeret med det skadesnummer, som er medlemmets skadessag, der potentielt har været synlig på ”Min Side”. Medlemmer har ikke haft uautoriseret adgang til andre medlemmers skadessager. Personoplysningerne i de dokumenter, der ved en fejl har kunne tilgås, har været navne, kontaktoplysninger, personnumre, betalingsoplysninger, IP-adresser og vidneerklæringer, og de registrerede; kunder, vidner, skadelidte og modparter.

LB har til sagen oplyst, at hændelsen har stået på i 959 dage fra den 21. februar 2019 til den 7. oktober 2021, hvor forsikringsselskabet lukkede ned for det pågældende dokument-ID’s synlighed. Loggen viser, at 3.923 dokumenter har været åbnet i denne periode. LB har foretaget en stikprøve af 645 af disse dokumenter, der viste, at i en konkret sag havde et medlem i 56 tilfælde haft uautoriseret adgang til andres dokumenter. LB har på baggrund af deres manuelle gennemgang estimeret, at maksimalt 340 dokumenter, og et tilsvarende antal registrerede, kan være berørt af hændelsen.

LB har videre til sagen oplyst, at de før implementeringen af portalløsningen i 2019 havde udarbejdet en implementeringsplan. Implementeringsplanen indeholdt adskillige test af løsningen, herunder for at det blev sikret, at dokumenter blev tildelt det korrekte dokument-ID og blev korrekt placeret. Ifølge LB blev den omtalte fejl ikke identificeret med begrundelse i, at der ikke var tale om en systemisk fejl. LB foretog ingen stikprøver, herunder for at gennemgå det materielle indhold samt afsenderen af e-mails forud for implementeringen. LB fastslår, at det var selve indstillingen og tildelingen af dokument-ID til de pågældende e-maildomæner, ”som var uhensigtsmæssig og udgjorde en lille risiko for, at e-mails fra tredjeparter vedrørende et bestemt medlems skadesag også blev synlige på medlemmets ”Min side”.”  LB anerkender, at der ved den pågældende tekniske indretning eksisterer en iboende risiko for, at medlemmer får uautoriseret adgang til andres personoplysninger.

Det fremgår af sagen, at LB løbende opdaterer portalløsningen for at forbedre den og sikre tilstrækkelige sikkerhedsforanstaltninger, som krævet efter databeskyttelsesloven. Ifølge LB er de pågældende e-mails ikke blevet opdaget, eftersom portalen indeholder en stor mængde dokumenter og information, hvoraf e-mailsene kun en udgør en mindre brøkdel. LB anfører, at det ville have krævet en menneskelig gennemgang af ”Min side” for at identificere fejlen. En sådan kontrol udfører LB ikke.

LB har implementeret forudgående organisatoriske foranstaltninger i form af instruktion af sagsbehandlerne til at reagere, såfremt de bliver opmærksomme på forkert placeret information på portalen og ellers ved medlemmers henvendelse. LB har angiveligt ikke haft nogle interne rapporteringer siden sikkerhedsbruddet opståen. Herudover vurderer LB løbende, hvilke dokumenter, der skal være synlige på ”Min side” for at sikre fortrolige oplysninger. LB har oplyst, at de – på baggrund af denne sag – vil undersøge processen for tildeling af dokument-ID og dokumenttyper, herunder for at sikre, at den automatiserede proces for tildeling af dokument-ID ikke resulterer i et gentagent sikkerhedsbrud.

LB har oplyst, at de registrerede er skadelidte, modparter, vidner og automekanikere. Indholdet af de pågældende dokumenter og e-mails indeholder i overvejende grad ikke fortrolige oplysninger. Stikprøvekontrollen viste herudover en begrænset mængde personoplysninger, herunder informationer, der ofte allerede var udvekslet mellem parterne. Den manuelle gennemgang viste, at det i langt overvejende grad kun var almindelige personoplysninger så som navn og e-mail, der fremgik. I få tilfælde fremgik en skadelidtes kontonummer, en faktura, et skadesnummer og lignende. I ét ud af 56 tilfælde blev en skadelidtes kontaktformular fundet, hvoraf et personnummer fremgik. LB har ikke underrettet de registrerede.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det af LB oplyste til grund, at skadelidte i perioden fra den 21. februar 2019 til den 7. oktober 2021 har haft uautoriseret adgang til andre parters personoplysninger i forbindelse med deres egen bilskadessag. Datatilsynet finder på den baggrund, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger, og at alle sandsynlige fejlscenarier bør testes i forbindelse med implementeringen af ny software, hvor der behandles personoplysninger.

Det er endvidere Datatilsynets opfattelse, at en teknisk indstilling, der automatisk afgør synligheden på dokumenter med personoplysninger og hvor adgangen hertil alene bestemmes af, hvilket e-maildomæne afsenderen benytter, særligt når dette er domæner, der hyppigt anvendes af såvel private som erhvervsdrivende, ikke er udtryk for passende sikkerhed, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet finder på ovenstående baggrund, at LB – ved ikke at have indført løbende foranstaltninger for at kontrollere og berigtige portalløsningssystemets indstillinger for synlighed af dokumenter – ikke har truffet passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

3.2. Databeskyttelsesforordningens artikel 25

Det følger af databeskyttelsesforordningens artikel 25, stk. 1, at den dataansvarlige – både på tidspunktet for fastlæggelse af midlerne til behandlingen og på tidspunktet for selve behandlingen – skal træffe passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

Det er Datatilsynets opfattelse, at LB ved fastlæggelsen af forretningsprocessernes digitalisering, implementeringen og indretningen af deres portalløsningssystem, hvori der skulle behandles oplysninger om fysiske personer, i 2019 ikke har truffet passende tekniske og organisatoriske foranstaltninger gennem design med henblik på at opfylde kravene i databeskyttelsesforordningen.

Datatilsynets har særligt lagt vægt på, at der for udviklingen af portalløsninger, der skaber adgang til opbevarede dokumenter indeholdende personoplysninger, ikke kan siges at afspejle det aktuelle tekniske niveau, såfremt maildomænets suffix isoleret set tillægges vægt ved tildelingen af adgange. Herudover vil det normalt være en del af det aktuelle tekniske niveau, at der ved indbyggede opfølgende kontroller, med passende opfølgningsfrekvens, sikres at en sådan automatiseret proces, alene giver korrekte adgange.

Ved, allerede på tidspunktet for behandlingens tilrettelæggelse, at have forsømt dette, og ved at benytte maildomænet som faktor, i adgangen til personoplysninger og idet det burde være imødegået ved designet af løsningen, for at sikre overholdelsen af det grundlæggende princip i artikel 5, stk. 1, litra f om integritet og fortrolighed (samt artikel 32), har LB ikke iagttaget artikel 25, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at LBs behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 og artikel 25, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at LB forud for den oprindelige implementering af portalløsningen i 2019 foretog en mangelfuld risikovurdering i indretningen af deres system. Dette har betydet, at sikkerhedsbruddet har haft en varighed på 959 dage og de af LB forudgående implementerede foranstaltninger var utilstrækkelige. Det fremgår videre, at LB var bekendt med risikoen for utilsigtet sammenblanding af sagsparter og dokumentationssynlighed.

Herudover har Datatilsynet lagt vægt på, at omfanget af behandlingen af personoplysninger må betragtes som betydelig hos et forsikringsselskab og at visse registrerede bør nyde en særlig beskyttelse og fortrolighed, herunder f.eks. vidner i en bilskadessag i henhold til erstatningsgodtgørelsen. Endeligt har Datatilsynet lagt vægt på, at LB ikke har taget stilling til risikoprofilen for om nogle af de registrerede har adresse- eller navnebeskyttelse.

I formildende retning har Datatilsynet lagt vægt på, at personoplysningerne generelt har været oplysninger, der allerede var den person – som fik den uberettigede adgang – bekendt.  

Datatilsynet noterer sig, at LB fremadrettet har til hensigt at undersøge processen for tildeling af dokument-ID og dokumenttyper, herunder for at forebygge et fremtidigt lignende sikkerhedsbrud.

3.3. Sammenfatning

Datatilsynet finder grundlag for at udtale alvorlig kritik af, at LB Forsikring A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 og artikel 25, stk. 1.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).