En svipser fra en lille rød murstensbygning på Østerbro har ramt omkring 1 million borgere, som er kunder eller samarbejdspartnere i otte forskellige forsikringsselskaber. I tre måneder var 1.693.025 registrerede navne med i nogle tilfælde fortrolige eller følsomme persondata – cpr-numre og helbredsoplysninger – eksponeret i det usikre tredjeland Ukraine. Dermed blev borgernes persondata bragt i fare for at blive misbrugt af uvedkommende.
Brøleren er begået og erkendt af firmaet Scalepoint. Men hvordan og hvorfor har et firma, som de færreste har hørt om, overhovedet fået nallerne i dine og millioner andres data fra en kunderelation, der oprindeligt blev indgået med et forsikringsselskab?
Et alternativ til en check
I 2001 blev Scalepoint stiftet af oberst af reserven Peter Heering, der efter at have været direktør i de første år nu er bestyrelsesformand i selskabet. Heering anses som en af Kronprins Frederiks næreste venner, og Heering-familien har i årevis haft meget tætte forbindelser til kongehuset. Han er fadder til prinsesse Isabella, og hans hustru er tidligere hofdame for kronprinsesse Mary samt fadder for prins Vincent. Tidligere medarbejdere fortæller, hvordan kronprinsen fra tid til anden har lagt vejen forbi Scalepoint.
Uddelingen af Kronprinseparrets Kulturpris 2008. Her ses Scalepoint-stifter Peter Heering med hustruen Caroline, daværende hofdame for Kronprinsesse Mary.
Heerings idé bag Scalepoint var at give selskaber og kunder et hurtigt og enkelt alternativ til at få udbetalt en check som erstatning for en mistet eller beskadiget ting. I stedet tilbød Scalepoint en webshop med specifikke produktleverandører og bagvedliggende rabatter. I den digitale proces sparer både selskaber og kunder tid og penge, forklarede Peter Heering i Jyllands-Posten i 2004:
»Kongstanken er, at telefonisten i et forsikringsskab skal afgøre skaden nu og her i telefonen og derefter straks gelejde kunden videre, for eksempel ind i vores varekatalog. Søgefaciliteten i vores system giver mulighed for en langt hurtigere sagsbehandling, fordi erstatningsberegningen bliver gjort betydelig mere simpel«.
I dag er Scalepoint blevet en slags bagvedliggende skadebehandler og taksator på tværs af 14 danske selskaber i branchen. Hvis din bil eller brille går i stykker, din cykel bliver stjålet, eller der er stormskader på dit tag, så behandler Scalepoint skaden digitalt og laver en vurdering af skadens omkostning, der er baseret på data fra lignende skader.
Vi ved, at når det bliver september måned, og der kommer en ny version af iPhone, så stiger sjovt nok også antallet af ødelagte iPhones markant
Jan Bigum, driftsdirektør Scalepoint
Firmaet leverer en webshop på vegne af de enkelte forsikringsselskaber, der derigennem tilbyder skadelidende kunder et erstatningsprodukt. På grund af sin volumen og et stort leverandørnetværk »hjælper Scalepoint forsikringsselskaberne med at reducere skadeomkostningerne«, som Konkurrencestyrelsen bemærkede i 2018 i forbindelse med Trygs opkøb af Alka i 2018.
Ordningen har gennem årene fået kritik, fordi forsikringskunder har følt sig presset til at vælge en specifik forhandler, som Scalepoint og forsikringsselskabet anviser. For hvis kunden i stedet ønsker at få udbetalt en kontant erstatning – som i gamle dage – så forbeholder selskaberne sig retten til at fratrække det beløb, de ville have sparet ved en transaktion i Scalepoint-shoppen – op til 30 procent.
Behandler alle skader
Firmaet indledte sit fokus på digital skadebehandling af løsøre, men har siden udvidet forretningen til at omfatte stadig flere forsikringsområder – bygningsskader, autoskader og helbredsproblemer. Det nyeste skud på stammen er at levere en komplet digital sagsbehandling af alle typer af skader. For eksempel står Scalepoint i dag bag behandlingen af alle typer skader i Codan, uanset om kunden skal have erstatning for vindmøller eller husdyr.
Populært sagt er Scalepoint en slags techgigant som Amazon, der med software og data løfter alle opgaver inden for skadebehandlingen – uden dog at kapre selve kunderne fra forsikringsselskaberne.
I 2019 omsatte moderselskabet for 576 millioner kroner. Scalepoint har nu 26 forsikringsselskaber på kundelisten i fem europæiske lande og stod sidste år for behandlingen af i alt 1 million skader. Alt det klares af blot 160 medarbejdere.
I en tid, hvor data eller såkaldt big data anses som det nye guld, så »sigter vi efter stjernerne«, som Scalepoint skriver i sine aktuelle jobopslag. »Vores ambition er klar: Vi vil erobre verden«, fortsætter teksten.
Driftsdirektør Jan Bigum forklarer, at forsikringsselskabernes unikke kundedata er adskilt; Scalepoint er som et højhus, hvor hvert selskab har sin egen lejlighed at bo i. Men Scalepoint kan analysere data på tværs på et aggregeret, statistisk niveau og har derfor et unikt indblik i skadetendenser, -processer, produkters værdi og løbende tab af værdi.
»Vi holder øje med, hvordan skadeudviklingen er. Vi ved, at når det bliver september måned, og der kommer en ny version af iPhone, så stiger sjovt nok også antallet af ødelagte iPhones markant. Over en bred kam holder vi også øje med, hvor meget der stjæles. Vi ved eksempelvis, at erstatninger for smykker lige nu er for nedadgående; folk er hjemme på grund af corona, og det giver færre indbrud«, siger Jan Bigum.
Men med så store mængder ofte følsomme data om millioner af forsikringskunder i huset på Østerbro, så følger også store risici. Det åbenbarer den sikkerhedsbrist, som har bragt omkring 1 million uvidende personers data i fare for misbrug på grund af eksponering for uvedkommende i et testmiljø i Ukraine.
Samtidig har hændelsen illustreret for forsikringsselskaberne, at Scalepoint i strid med deres aftaler har brugt data på tværs af lejlighederne i huset til egne selvstændige udviklingsformål. Sikkerhedsbristen bestod i, at de data ikke var anonymiseret. I sin redegørelse til Datatilsynet 9. december 2019 skriver Topdanmark, at »udvikling og test til brug for Scalepoints egne formål, herunder udviklingen af den funktionalitet, som har udløst sikkerhedshændelsen, er ikke sket efter aftale eller instruks fra Topdanmark«.
I brancheorganisationen Forsikring & Pension siger vicedirektør Thomas Brenøe, at dialogen om, hvordan selskabernes data må bruges, »er jeg ret sikker på, at selskaberne tager bilateralt med Scalepoint«.
Er der efterhånden et konkurrenceproblem i Scalepoints monopollignende status på dette marked for skadebehandling?
»Mit indtryk er, at vores medlemmer bruger Scalepoint, fordi de synes, de er dygtige. Infrastruktur til den finansielle sektor er et globalt marked, så hvis nogen er utilfredse, ville der nok være andre steder at gå hen, eller man kunne udvikle noget selv. Men der er den pointe, at ligesom på andre forretningsområder, hvor data og digitale infrastrukturer er vigtige, kan der være udfordringer med konkurrencen, fordi der virkelig er nogle stordriftsfordele«, siger Thomas Brenøe og henviser til techgiganter som Google, Facebook og Amazon.
I Scalepoint siger Jan Bigum, at selskabet har taget sikkerhedshændelsen dybt alvorligt, og at sagen har ført til en lang række opstramninger af sikkerheden for at undgå gentagelser. Som det væsentligste er selskabet gået helt over til kun at bruge fiktive data i stedet for anonymiserede data, når selskabet tester nye funktionaliteter.
»Der er i dette tilfælde sket en teknisk fejl, fordi et anonymiseringsskript ikke har fungeret efter hensigten, og det er selvfølgelig dybt beklageligt. Men den grundlæggende aktivitet, som består i at anvende anonymiserede oplysninger til at teste og forbedre vores produkter, er ikke i strid med de aftaler, vi har med vores kunder«, siger Jan Bigum.
Der skete en fejl, prøv igen senere
Der skete en fejl, prøv igen senere eller søg hjælp via vores kundecenter
