Folksam rapporterar att man under lång tid frivilligt, men olagligt, delat personuppgifter för fler än 1 miljon individer med företag som Facebook, Google, Microsoft, Linkedin och Adobe.

Den olagliga överföringen upptäcktes i samband med en internrevision under hösten.

Folksam, som många andra, misstänks ha använts webbaserade analysverktyg som Google Analytics och Facebook pixel på sin hemsida, och genom att även inkludera dessa tredjepartsverktyg på inloggade sidor och utcheckningssidor, gjort så att också uppgifter om tecknade försäkringar överförts.

Dessutom avslöjar Folksam att man ytterligare känsliga personuppgifter automatiskt överförts till tredje parter för att förbättra träffsäkerheten vid digital marknadsföring. Exempel på sådana tjänster är Facebook Custom Audience, där existerande kunddata kan användas för att identifiera liknande profiler.

De personuppgifter som överförts inkluderar IP-adresser, över personnummer till fackligt medlemskap och graviditet. De senare anses utgöra extra känsliga personuppgifter.

Vi applåderar att Folksam faktiskt genomfört en intern revision av deras personuppgiftsinventering, men är förvånade att se i vilken utsträckning man saknat kontroll över både personuppgifter, deras behandling och överföring. Särskilt med beaktande av de potentiellt katastrofala ekonomiska skador som kan följa med dessa misstag.

Folksam har en total omsättning på gruppnivå kring 60 miljarder kronor och förvaltar mer än 700 miljarder kronor. Det potentiella maximala vitet uppgår därför till mellan 2,4 miljarder kronor och 28 miljarder kronor.

Vid sidan av vitet bör Folksam även förbereda sig på en grupptalan från de fler än en miljon människor vars integritet blivit kränkt. Då Folksam rapporterat detta som ett identifierat brott mot GDPR har dessa personer rätt till skadestånd enligt artikel 82.

Kostnaderna för det skadade varumärket torde dock vara ännu större.

Vi rekommenderar därför alla företag att omgående inventera sin hantering av personuppgifter och tillse att all behandling och överföring är dokumenterad och under kontroll.

https://computersweden.idg.se/2.2683/1.742108/folksam-personuppgifter-facebook-google?