Integritetsskyddsmyndigheten, IMY, har granskat ett klagomål om säkerhetsnivån som försäkringsbolaget If använde när man skickade ut ett mejl med känsliga personuppgifter i november 2020.

IMY konstaterar att mejlet visserligen varit krypterat mellan företagets e-postserver till den e-postserver som tillhör den klagandes operatör men att krypteringen sedan upphörde.

– Det innebar att krypteringen upphörde innan meddelandet hade nått den slutliga mottagaren och att det på så sätt fanns risk för att obehöriga kunde ta del av e-postmeddelandet i klartext efter att den krypterade överföringen hade upphört, säger Mats Juhlén som är it- och informationssäkerhetsspecialist på IMY, i en kommentar.

Det gör att If får en reprimand från IMY för att ha behandlat personuppgifterna i strid mot artikel 32.1 i dataskyddsförordningen, det vill säga att inte ha vidtagit de tekniska och organisatoriska åtgärder som krävdes för en lämplig säkerhetsnivå.

Sedan klagomålet kom in ska If ha infört lösningar som höjt säkerheten, exempelvis kan deras kunder få tillgång till sina meddelanden genom att logga in med bank-id via ”Mina sidor” på bolagets sajt.