Folksam har delat känsliga personuppgifter

Det rör sig om uppgifter för ca en miljon personer som Folksam ska ha delat med sig till sina digitala samarbetspartners, såsom Facebook, Google och Microsoft. Det är tack vare en intern kontroll på Folksam som det hela har upptäckts. I samband med upptäckten så upphörde all delning av uppgifter och nu har Folksam också krävt att dom företag som fått ta del av dom känsliga uppgifterna ska radra dom.

Förutom speciellt skyddsvärda uppgifter som personummer så har även uppgifter om att någon köpt en facklig försäkring eller gravdiförsäkring delats, enligt uppgifter i ett pressmedelande från Folksam.

Bland de känsliga uppgifter som har hamnat hos de digitala jättarna finns sådant som att en individ har köpt en facklig försäkring eller gravidförsäkring samt särskilt skyddsvärda personuppgifter som personnummer. Det framgår av ett pressmeddelande från Folksam.

Jens Wikström som är chef för marknad och försäljning på Folksam säger att man har förståelse för att det kan väcka oro hos kunderna och man ser allvarligt på det inträffade.

Vi har omedelbart stoppat delningen av de här personuppgifterna och begärt att de raderas. Vårt syfte med detta har varit att analysera och att ge våra kunder anpassade erbjudanden, men tyvärr har vi inte gjort det på helt rätt sätt

 säger Jens Wikström, chef för Marknad och försäljning, Folksam. 

Dom delade uppgifterna har bland annat hamnat hos Facebook, Google, Microsoft, Linkedin och Adobe.

Det här ska inte få hända och vi arbetar nu hårt för att det aldrig ska hända igen. Vi kartlägger vilka personuppgifter vi delar med våra samarbetspartner och hur vi delar dem. Vi arbetar parallellt med att säkerställa att vi har rutiner och uppdaterade avtal på plats

fortsätter Jens Wikström.

Folksam har även anmält händelsen till Datainspektionen enligt GDPR.

Haveriet i Göteborg ännu utan lösning

Det var på Fredagen den 18 september som ett antal e-postservrar kraschade på Göteborgs universitet. Än idag så saknar omkring 2500 medarbetare på Göteborgs universitet tillgång till mejlen.

Det beror på att det tar lång tid att få igång systemet för epost igen då anställda vid Göteborgs universitet använder olika datorer som uppdateras och servas olika

säger it-chefen Sören Ehrnberg.

Därför går det i nuläget inte att säga när alla användare har e-post igen, men klart är att det löpande kommer att bli allt fler. Vi ser att de olika tekniska utmaningarna kan hanteras.

Efter några dagar hade man fått igång runt hälften av epost kontona som kraschat, men det återstår alltså fortfarande mycket jobb med dom cirka 2500 medarbetarna som ännu inte fått en fungerande mail adress.

Att e-posten inte fungerar för alla är ett mycket allvarligt läge för hela vår verksamhet och visar på sårbarheten i vårt digitaliserade samhälle

säger rektor Eva Wiberg i en kommentar på universitetets hemsida.

Gmail
Fortfarande problem med mail konton

Eva säger vidare att händelsen ska utredas grundligt och att man förbereder en djup revision.

Hon tillägger att händelsen behöver utredas grundligt och att förberedelser för en djupgående revision pågår.

Sedan tidigare har man också anmält haveriet till Datainspektionen som en säkerhetsincident enligt GDPR.

La ut känsliga personuppgifter får böta stora summor

Hälso och sjukvårdsnämden i Örebro publicerade känsliga personuppgifter på webben. Något som Datainspektionen nu konstaterarär fel och Hälso- och sjukvårdsnämnden i Region Örebro län ska nu betala 120 000 kronor och åläggs att uppdatera sina rutiner.

Hälso- och sjukvårdsnämnden i Region Örebro län har gjort fel vid publicering av känsliga personuppgifter på regionens webbplats, det gäller patienter som är intagna på rättspsykiatrisk klinik. Det visar Datainspektionen inledde en granskning efter att ha fått in ett klagomål.

– Vår granskning av det inträffade visar att känsliga personuppgifter felaktigt publicerats och har legat öppna på kommunens webbplats

säger Elin Hallström, jurist på Datainspektionen.

Av den granskning som Datainspektionen gjort framgår det också att det inte finns några skriftliga rutiner som avhandlar hur man får publicera handlingar och personuppgifter på webbplatsen, utan att rutiner kring publiceringen delges muntligt.
I just det här fallet har inte dom muntliga rutinerna följts utan handlingen ska ha publicerats av misstag, det visar enligt Datainspektionen på att nämnden inte har vidtagit tillräckliga organisatoriska åtgärder för att säkerställa att personuppgifter skyddas från att felaktigt publiceras på regionens webbplats.

– Därför förelägger vi nu nämnden att ta fram skriftliga instruktioner och införa rutiner som säkerställer att den som publicerar personuppgifter på webben gör det enligt de instruktionerna.

Datainspektionen konstaterar också i sin dom att nämden inte haft något berättigat ändamål, undantag från Datainspektionen, eller laglig grund för publicering på sidan.

Datainspektionens föreläggande är därför att nämnden ska åtgärda dom brister och problem som upptäckts samt även utfärdat en administrativ sanktionsavgift på 120 000 kronor mot nämden.

Datainspektionen förelägger därför nämnden att åtgärda de brister som upptäckts och utfärdar även en administrativ sanktionsavgift på 120 000 kronor mot nämnden.

Hälso och sjuvårdsnämden i Örebro har avlägsnat den publicerade handlingen från sin webbplats.

Tyskland får GDPR fall med miljarböter

Det är den Tyska internet och mobiloperatören 1&1 som ska betala runt en miljard för att ha brutit mot GDPR, enligt den tyska motsvarigheten till dataskydsmyndigheten ska skyddet för persondata på 1&1 callcenter varit otillräckligt.

1&1 är en av Tysklands största internet och mobiloperatörer och har inte vidtagit ”tillräckliga tekniska och organisatoriska åtgärder” för att skydda personuppgifter på sina callcenter vilket då innebär brott mot artikel 32 i GDP, det skriver BFDI, den tyska dataskyddsmyndigheten, i ett pressmedelande.

Bara genom att ange namn och födelsedatum när man ringt callcentret så har man kunnat få ut kundernas information vilket innebär att den inte skyddats tillräckligt. Nu åläggs 1&1 att betala 9,55 miljoner euro, vilket motsvarar runt en knapp miljard kronor.

Efter att BfDI tidigare kritiserat dataskyddet så har 1&1 lagt till ett extra steg innan kunderna kan få ut sin kunddata och kunderna ska även förses med en personlig pinkod för att kunna få tillgång till sitt konto.

1&1 själva anser att boten är helt fle och oproportionerlig och kommer att överklaga beslutet.