В Швеции оштрафовали страховую компанию за доступ к данным клиентов
Административное наказание в виде штрафа размером в 35 млн шведских крон (305 млн руб.) за возможность доступа к данным 650 тыс. клиентов наложило на страховую компанию Trygg-Hansa Шведское управление по защите частной жизни (IMY), сообщает пресс-служба ведомства 30 августа на официальном интернет-портале.
IMY получило информацию о возможности доступа к личным данным клиентов компании из-за недостатков в системе безопасности. Информатор сообщил, что получил электронное письмо от компании со ссылкой на страницу с предложением.
На этой странице были интерактивные ссылки с URL-адресами, которые вели к документам со страховой информацией. Информатор заметил, что можно получить доступ к документам других страхователей без какого-либо входа в систему, заменив всего несколько цифр в веб-ссылке. IMY инициировало проверку полученной информации.
«Документы, к которым были доступны неуполномоченные лица, в некоторых случаях содержали конфиденциальные персональные данные, включая информацию о состоянии здоровья, которая также отличалась высоким уровнем детализации. Например, можно было прочитать, как возникла проблема со здоровьем или получить подробные сведения о состоянии здоровья. В целом, большой объем персональных данных позволяет составить четкую картину личных обстоятельств человека», — пояснил юрист IMY Эвелин Палмер.
Аудит показал, что в период с октября 2018 года по февраль 2021 года был возможен доступ к данным 650 тыс. клиентов. В дополнение к медицинским данным можно было получить финансовую информацию, контактные данные, номера социального страхования, сведения о страховых взносах.
Отмечается, что недостатки в системе безопасности носили фундаментальный характер, и компания должна была быть в состоянии обнаружить и исправить их еще до внедрения текущей IT-системы и, в любом случае, в течение длительного периода использования системы.
IMY считает, что Trygg-Hansa не предприняла надлежащих технических мер для обеспечения необходимого уровня безопасности. В связи с этим власти наложили на компанию административный штраф в размере 35 млн шведских крон (305 млн руб.).