Folksam, som försäkrar 50 procent av svenska hem och privatpersoner, delade data med teknikjättar som Facebook, Google, Microsoft, Adobe och LinkedIn. Det hela skall ha pågått sedan 2005, även om det mesta av informationen har delats sedan 2015.
”Vi förstår att det här kan väcka oro hos våra kunder och vi ser allvarligt på det som inträffat. Vi har omedelbart stoppat delningen av de här personuppgifterna och begärt att de raderas. Vårt syfte med detta har varit att analysera och att ge våra kunder anpassade erbjudanden, men tyvärr har vi inte gjort det på helt rätt sätt”, säger Folksams marknadschef Jens Wikström i ett uttalande.
”Det här skall inte få hända och vi arbetar nu hårt för att det aldrig skall hända igen. Vi kartlägger vilka personuppgifter vi delar med våra samarbetspartner och hur vi delar dem. Vi arbetar parallellt med att säkerställa att vi har rutiner och uppdaterade avtal på plats”, säger han vidare.
Uppgifterna inkluderade personnummer, bankverksamhet, och information om vem som hade köpt en gravidförsäkring eller facklig försäkring, säger Folksam.
Delningarna upptäcktes under en intern kontroll i månadsskiftet september-oktober och sedan dess har Folksam arbetat med att kartlägga vad som hänt och vidta åtgärder.
Uppgifterna har vandrat vidare bland annat analysverktyg och olika script som används enligt Folksams presschef Kajsa Moström.
Syftet har varit att analysera och ge kunderna anpassade erbjudanden men det har inneburit att bland annat känsliga data som graviditet följt med.
– Det här är ju data som inte får delas under några omständigheter.
Bredden på vad som har delats är dock stor, uppger Kajsa Moström. Det handlar om allt ifrån IP-adresser från besökare på sajten – som klassas som personuppgift – till inloggade kunder. Exakt vilka som drabbats har Folksam dock inte kunnat reda ut.
– Nej, vi vet inte vilka enskilda kunder det rör sig om men vi har lagt ut information på vår hemsida.
Europeiska tillsynsmyndigheter har straffat företag med höga böter för dataintrång under de senaste åren som allt eftersom hårdare sekretessregler har trätt i kraft.
Man har anmält incidenten till Datainspektionen enligt GDPR, säger Folksam.
En talesperson för Datainspektionen säger sig undersöka saken men har ännu inte fattat något beslut om att inleda en utredning.
Folksam sade att det hittills inte fanns någon indikation på att den läckta informationen har använts av tredje part på ett ”felaktigt sätt”.