Din varukorg är för närvarande tom!
IMY: Påståenden om delning av privata bilder kunde inte styrkas
Integritetsskyddsmyndigheten (IMY) har avslutat en utredning av larmbolaget Verisure. Myndigheten inledde utredningen på egen hand efter medieuppgifter om allvarliga brott mot dataskyddsförordningen.
Rapporterna tydde på att personal i företagets larmcentraler som tar emot larm och hanterar övervakningsmaterial från privata bostäder delade övervakningsbilder med varandra på ett sätt som bröt mot företagets interna regler. Varken IMY eller Verisures utredningar kunde bekräfta medieuppgifterna. Företaget fick dock en varning för att loggar som visar på vem som har tittat på specifika bilder inte sparades tillräckligt länge.
I mars 2023 rapporterade Aftonbladet att anställda på Verisure spridit bilder från övervakningskameror i kunders hem när de av misstag utlöst larmet när de varit oklädda. Enligt tidningen kom dessa anklagelser från både tidigare och befintliga medarbetare som arbetar i bolagets larmcentraler.
En larmtekniker vittnade i en artikel daterad den 31 mars 2022 att han hade mottagit en bild på en naken kvinna som kom ut ur duschen. I reportaget framgår att de anställda inte skickade bilderna direkt via interna chattkanaler. Istället uppmärksammade de varandra på pågående ärenden där larm aktiverats och noterade att bilderna fanns tillgängliga i respektive ärendes akt, eller om en person redan hade bilden på sin skärm kunde denne rotera den för att visa den för andra personer i samma rum.
IMY har granskat hur larmbolaget hanterar övervakningsmaterial från privatkunder. I IMY:s beslut konstateras att varken företagets interna utredning eller IMY:s utredning kunde bekräfta medieuppgifterna. IMY fann dock att åtkomstloggarna endast sparades i tre månader, vilket myndigheten ansåg vara otillräckligt.
Verisure behöll bilder och åtkomstloggar i 100 dagar, vilket är ungefär tre månader. IMY ansåg att denna tid var tillräcklig för att bevara själva bilderna. Myndigheten fann dock att lagringstiden för åtkomstloggarna var otillräcklig. Genom att förlänga den tiden som åtkomstloggarna bevaras skulle det enligt IMY bli lättare att utreda, eftersom dessa loggar innehåller filnamn som kan användas för att dra slutsatser om eventuellt missbruk.
– Kameror som är uppsatta i privatpersoners hem innebär en mycket integritetskänslig behandling av personuppgifter. Det innebär att riskerna är så pass höga att det inte är tillräckligt att endast spara logguppgifterna från hanteringen av bildmaterialet i tre månader. Det krävs verksamma tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå och för att möjliggöra enskildas rättigheter, till exempel rätten till tillgång, säger Sarah Bodlander, avdelningsjurist på IMY i ett pressmeddelande.
IMY fann att Verisure brutit mot artikel 32.1 i GDPR på grund av att loggarna sparades under för kort tid. Företaget ändrade sin praxis i augusti 2022 och lagrar nu loggar i fem år. Eftersom utredningen inte kunde finna bevis som bekräftade medieuppgifterna, konstaterade IMY att den enda överträdelsen bestod i att loggarna inte sparades tillräckligt länge. IMY gav företaget en reprimand, det vill säga att företaget fick en varning utan sanktionsavgift.