Søgefelt

Primære faneblade

    Meddelelse om brud på persondatasikkerheden

    Pressemeddelelse
     

    Datatilsynet har med henvisning til databeskyttelsesforordningen påbudt Forsikringsforbundet at give offentlig meddelelse om et brud på persondatasikkerheden.

    Underretning om sikkerhedsbrud
    Forsikringsforbundet skal hermed med stor beklagelse underrette om, at vi har haft et sikkerhedsbrud i form af manglende etablering af adgangsbegrænsning på en mappe i et IT-drev placeret i Alm. Brands IT-struktur. Den manglende adgangsbegrænsning har betydet, at alle ansatte i Alm. Brand har haft mulighed for at gøre sig bekendt med filer i pågældende mappe knyttet til Forsikringsforbundet, og som indeholdt oplysninger om vores medlemmer, der er eller har været ansat i Alm. Brand i perioden 2005 til 2020.

    Bruddet blev konstateret den 19. oktober 2020 og mappen blev straks lukket. Efter nærmere undersøgelse anmeldte Forsikringsforbundet bruddet til Datatilsynet den 21. oktober 2020.

    Forsikringsforbundet tager hændelsen meget alvorligt og alle de berørte personer, som Forsikringsforbundet har post- eller mailadresser på, er orienteret direkte.

    Hvilket system er omfattet af bruddet?
    Det drejer sig om en mappe oprettet den 12. april 2005 på vegne af Forsikringsforbundet i Alm. Brand koncernens fællesdrev. Mappen er oprettet med henblik på at opbevare oplysninger knyttet til Forsikringsforbundets personaleforening i Alm. Brand. 

    Hvilke oplysninger er omfattet af bruddet?
    Sikkerhedsbruddet vedrører i alt 891 tidligere eller nuværende medlemmer af Forsikringsforbundet (tidligere Danske Forsikringsfunktionærers Landsforening – DFL).

    For hovedparten af de berørte medlemmer og tidligere medlemmer har oplysningerne, der har været tilgængelige, omfattet navn, personnummer, kontaktoplysninger og fagforeningstilhørsforhold.

    I nogle tilfælde har der også indgået andre fortrolige og følsomme oplysninger, såsom oplysninger om opsigelse, advarsler, bortvisning, mobning/chikanetilfælde, sygemeldingsperioder, stress og helbredsmæssige forhold i øvrigt af betydning for ansættelsen.

    I hvilket omfang der har været adgang til sådanne fortrolige og følsomme oplysninger om et medlem eller tidligere medlem afhænger i det hele af den enkeltes ansættelsesforløb ved Alm. Brand, og om medlemmet eller det tidligere medlem har anmodet om Forsikringsforbundets bistand i forbindelse med eksempelvis stress, sygemelding, chikane eller opsigelse mv.

    Herudover vedrører sikkerhedsbruddet nuværende og tidligere tillidsrepræsentanter, ledere, ansatte og undervisere. Om disse indgår dog alene navn og tilhørsforhold til enten Alm. Brand eller Forsikringsforbundet som arbejdsplads.

    Hvordan skete bruddet og hvordan er det opdaget?
    Som følge af en beklagelig fejl blev mappen ikke oprindeligt oprettet med adgangsbegrænsning, og Forsikringsforbundet opdagede fejlen, da sikkerhedsbruddet blev konstateret af Alm. Brands IT-arkitekt den 19. oktober 2020 i forbindelse med en almen gennemgang og oprydning af mapper på Alm. Brand-koncernens fællesdrev.

    Forsikringsforbundet har ikke i perioden konkret fået fulgt op på Forsikringsforbundets instruks om kun at anvende lukkede datadrev på Forsikringsforbundets lokale servere til opbevaring af persondata. Forsikringsforbundet var heller ikke i øvrigt gjort bekendt med at mappen blev brugt til personhenførbare oplysninger samt mappens eksistens før bruddet konstateres i oktober 2020.

    Hvem har bruddet konsekvenser for?
    Alm. Brand har oplyst, at de administrerer deres logning af adgang til personoplysninger risikobaseret, og at der ikke sker logning i forhold til mapper uden etableret adgangskontrol på fællesdrevet. Det er derfor ikke muligt teknisk at dokumentere, om mappen har været tilgået af andre medarbejdere hos Alm. Brand.

    Alm. Brand har imidlertid – efter rundspørge ved deres medarbejdere – oplyst, at ingen af de adspurgte har været bekendt med mappens eksistens.

    Forsikringsforbundet har tillige undersøgt forholdet, og alene medarbejdere med berettiget adgang til oplysningerne har haft kendskab til mappen.

    Der er derfor ingen indikation af, at nogen uretmæssigt har tilgået oplysningerne, eller at bruddet på anden måde har haft skadevirkninger for de berørte.

    Hvad har vi gjort?
    Mappen blev lukket med det samme, og sagen blev anmeldt til Datatilsynet den 21. oktober 2020.

    Forsikringsforbundet har derudover generelt indskærpet over for alle i organisationen, at fortrolige eller følsomme oplysninger om medlemmer ikke må ligge på selskabernes systemer uden adgangsbegrænsning, og at det kontinuerligt skal sikres, at mapper på selskabsdrev faktisk er behørigt sikret med adgangsbegrænsninger.

    Forsikringsforbundet vil løbende følge op på, at dette sker.

    Spørgsmål vedrørende denne meddelelse kan rettes til info@forsikringsforbundet.dk