LB Forsikring A/S’ arkiveringssystem var designet med en indstilling, der gjorde, at e-mails i en periode blev tilknyttet en skadessag med læserettigheder alt efter hvilket domæne, det var afsendt fra. Det betød i praksis, at al dokumentation, der var identificeret med samme skadesnummer – og som var afsendt fra flere udbredte mailudbydere – blev synlig på kundens ”Min side”.
Dokumenterne kunne bl.a. være fra modparter, vidner og automekanikere, og indeholdt personoplysninger som kontaktinformationer, vidneerklæringer, betalingsoplysninger – og i mindst ét tilfælde et personnummer. LB Forsikring A/S har anslået, at der var tale om maksimalt 340 dokumenter, og at et tilsvarende antal registrerede kan være blevet berørte.
Indstilling ikke identificeret ved test
LB Forsikring A/S havde før implementeringen af arkiveringssystemet i 2019 udarbejdet en implementeringsplan, der indeholdt adskillige tests. Testene skulle bl.a. sikre, at dokumenter blev tildelt det korrekte dokument-ID og blev placeret korrekt, men den pågældende indstilling blev ikke identificeret i testforløbet.
Databeskyttelse gennem design
Datatilsynet slog fast, at det – ud over brugen af alle de anerkendte testformer – allerede fra udviklingen af systemets forretningsprocesser og design, påhviler den dataansvarlige at sikre en effektiv implementering af databeskyttelsesprincipperne ved at indbygge dette i systemunderstøttelsen, så det giver de fornødne garantier i behandlingen af personoplysninger og opfylder kravene i databeskyttelsesforordningen (GDPR).
Ved udvikling af en portalløsning som LB Forsikring A/S’ arkiveringssystem, hvor der skal gives adgang til opbevarede dokumenter med personoplysninger i, er det ikke i overensstemmelse med det aktuelle tekniske niveau, hvis et maildomæne alene tillægges vægt i henhold til, hvilke dokumenter der gives adgang til.
Herudover vil det være en del af det aktuelle tekniske niveau, at den dataansvarlige indbygger opfølgende kontroller, der sikrer, at en sådan automatisk proces alene giver den korrekte adgang.
Eftersom at LB Forsikring A/S forsømte at imødekomme dette i selve designet af løsningen, allerede inden behandlingen blev tilrettelagt, blev det grundlæggende princip om integritet og fortrolighed ikke overholdt.
På den baggrund udtaler Datatilsynet alvorlig kritik af LB Forsikring A/S.
Vil du vide mere?
Læs afgørelsen her
Læs Datatilsynets vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her
Lyt til podcast-episode om databeskyttelse gennem design her