IMY genomförde en inspektion av försäkringsbolaget Trygg-Hansa efter att ha fått information från en person som hade mottagit ett e-postmeddelande från företaget. I mejlet fanns en länk till en offertsida där det fanns klickbara länkar till dokument med försäkringsinformation. Genom att ändra några siffror i webbadressen var det möjligt att få tillgång till andra försäkringstagares dokument.
En granskning har avslöjat att det har varit möjligt att få tillgång till kunduppgifter för 650 000 kunder under mer än två år, enligt ett pressmeddelande från IMY.
Från och med oktober 2018 till februari 2021 kunde uppgifter om hälsa, ekonomi, kontaktuppgifter, personnummer och försäkringsinformation nås via internet.
IMY påpekar att de dokument som har varit tillgängliga för obehöriga i vissa fall innehöll känsliga personuppgifter, inklusive detaljerad information om hälsa. Detta innebär att det har varit möjligt att få en detaljerad bild av en persons privata förhållanden baserat på den stora mängden personuppgifter som har varit tillgängliga.
IMY konstaterar vidare att säkerhetsbristerna har varit så grundläggande att Trygg-Hansa borde ha upptäckt dem och åtgärdat dem innan det aktuella it-systemet infördes, eller åtminstone under den långa tid det har varit i bruk. IMY har beslutat att påföra en administrativ sanktionsavgift på 35 miljoner kronor som Trygg-Hansa måste betala på grund av deras bristande hantering.
