2022 anmälde Apotea sig själva till Integritetsskyddsmyndigheten (IMY) efter det att personuppgifter felaktigt överförts till Meta, som bland annat äger Facebook och Instagram, via analysverktyget Meta-pixeln som bolaget använt på sina webbplatser.
Apotea använde Meta-pixeln på sin webbsida för annonsering och analys. Marknadsföringen handlade om Apoteas “sortiment av icke läkemedelsprodukter” och har uteslutande skett genom annonser på Facebook och Instagram.
Personuppgifterna som har läckt innehöll inga uppgifter om varor som klassificerats som medicintekniska produkter såsom självtester och kondomer, receptbelagda läkemedel och icke receptbelagda läkemedel.
Apotea uppger i beslutet att det inte är möjligt att uppge ett exakt antal på hur många som har berörts men uppskattningsvis är det maximalt 238 234 – 379 959 kunder som påverkats.
IMY är nu klar med granskningen och precis som vid de tidigare granskningar uppger bolagen att den felaktiga överföringen orsakats av att en delfunktion i Meta-pixeln som aktiverats av misstag.
— De här incidenterna som rör oavsiktlig inställning av Meta-pixeln visar på vikten att ha tillräckliga tekniska och organisatoriska säkerhetsåtgärder på plats och att ha noggrann koll på den egna verksamhetens flöden av personuppgifter, säger Petter Flink som är it- och informationssäkerhetsspecialist på IMY i ett pressmeddelande.
Apotea, Kry och Länsförsäkringar AB samt ytterligare 27 bolag inom Länsförsäkringsgruppen som granskades samtidigt har efter att de upptäckt incidenten tagit bort Meta-pixeln.
Dessutom har bolagen vidtagit diverse åtgärder för att stärka upp sin it-säkerhet, exempel på åtgärder redovisas i IMY:s beslut mot bolagen.
— Det är positivt att personuppgiftsincidenter på det här sättet kan leda till att verksamheter stärker sina tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som de hanterar, säger Petter Flink.
I besluten mot bolagen konstaterar IMY att bolagen brutit mot dataskyddsförordningen, GDPR, men bedömer att det är fråga om en mindre överträdelse. Det beror bland annat på att bristerna inte har lett till överföring av några känsliga personuppgifter, uppgifter som omfattas av sekretess eller som annars är av mer skyddsvärd karaktär.
Det gör att IMY utfärdar en reprimand, det vill säga en tillrättavisning men ingen sanktionsavgift skriver Apotea i ett pressmeddelande.
I tillsynen av två andra apoteksaktörer, Apoteket och Apohem, som också lämnat in en självanmälan i samma ärende beslutade IMY tidigare i år om sanktionsavgifter på 37 miljoner kronor mot Apoteket och 8 miljoner mot Apohem, vilket Svensk Farmaci rapporterat om tidigare.
Läs mer >> Apotek delade känsliga uppgifter får betala miljoner i böter