Scalepoint blev den 4. september 2019 gjort opmærksom på en fejl i virksomhedens interne, lukkede testmiljø. Fejlen betød, at der på en udviklingsplatform blev brugt rigtige persondata, heraf nogle følsomme, i stedet for anonymiserede data, som det ellers er normen og reglen. Det berørte datasæt indeholdt cirka 1 million navne, heraf var cirka en fjerdedel inklusiv personnumre. Dataene stammer fra en bred række af Scalepoints forsikringskunder.

Fejlen var i strid mod gældende GDPR-regler, men blev rettet med det samme, den blev opdaget. Ingen data blev gjort tilgængelige udenfor Scalepoint, og ingen data er blevet lækket eller misbrugt. Scalepoint informerede straks alle berørte parter, og har efterfølgende redegjort for sagens forløb til Datatilsynet, der rådgiver, vejleder og fører tilsyn med, at reglerne for databeskyttelse bliver overholdt.

Scalepoints systemer og databehandling har altid levet op til alle relevante standarder, men den konkrete sag samt Datatilsynets og kundernes skærpede krav til GDPR har givet anledning til en grundig intern revision af Scalepoints fremadrettede sikkerheds-setup, herunder håndtering af testdata.

En af de mest håndgribelige ændringer er en komplet overgang til udelukkende at bruge fiktive data i alle testmiljøer. Scalepoint har således afskaffet al brug af anonymiserede af data og bruger nu kun fiktive data i testmiljøerne.

Derudover har Scalepoint flyttet alle ukrainske aktiviteter til Polen og dermed ind i EU. Samtidig har Scalepoint i samarbejde med Deloitte udført en omfattende ekstern revision af alle tekniske setups.

Scalepoint påtager sig det fulde ansvar og afventer nu Datatilsynets afgørelse i sagen. Scalepoints arbejde med løbende forbedringer af datasikkerheden er imidlertid ikke isoleret til den aktuelle hændelse, men vil fortsætte som et af virksomhedens vigtigste strategiske fokuspunkter.

Spørgsmål vedrørende hændelsen kan rettes direkte til Jan Bigum på jbi@scalepoint.com.