Samma här och som innehöll ca 4.700 publicerade adresser!

fick också detta. Klickade inte på länken, men hade en faktura att attestera när jag loggade in. 

Reagerade som alla andra på att ni visar hela sänd listan ?!? vill inte posta dem här med hänsyn till GDPR 😉 och min egen integritetspolicy.

Skärmdump finns om ni vill ha men då får ni höra av er.

Med vänlig hälsning,

Marie

Fick också detta mail. Med tanke på det stora antalet namn och mailadresser till era kunder som skickades ut måste detta sannolikt klassas som en "Personuppgiftsincident". Det kommer nog inte att räcka med en ursäkt i detta fall.

Läs mer: Personuppgifts­incidenter | IMY

Jag fick ett tjugotal mejl till två olika mejladresser. 

Grunder för anmälan: Detta utgör ett allvarligt brott mot GDPR, specifikt:

• Artikel 5(1)(f) om integritet och konfidentialitet
• Artikel 6 om laglig behandling av personuppgifter
• Artikel 32 om säkerhet i samband med behandlingen
• Artikel 33 om anmälan av personuppgiftsincident till tillsynsmyndigheten

Hej!

Vi vill börja med att be om ursäkt. Inatt har en uppdatering av en påminnelsefunktion gjort att ni som är användare har fått ett felaktigt påminnelsemail, detta pga en bugg. Du kan bortse från påminnelsen du har fått.

Ingen data förutom emailadresserna har gått ut. All övrig data är säkrad. Ingen av din programdata är påverkad.
Vi ser väldigt allvarligt på detta och arbetar just nu för fullt för att utreda nästa steg och vidta ytterligare åtgärder om så krävs.

Igen, vi ber så mycket om ursäkt.

/Tinna

Hej, även jag fick mail tidigt i morse....

Såg just Vismas svar på denna incident. Visma har inte förstått allvaret.

För ref, Vismas svar från VD.

Hej

Vi vill börja med att be om ursäkt. Under natten till tisdag har en uppdatering av en påminnelsefunktion gjort att ni som är användare har fått ett felaktigt påminnelsemail. Du kan bortse från påminnelsen du har fått.

Vi vill vara tydliga med att ingen kunddata har läckt, förutom de mailadresser som syns i det utskickade mailet.

Felet åtgärdades direkt och vi har vidtagit de åtgärder som krävs. Vi vill även vara tydliga och försäkra er om att vi följer GDPR och andra relevanta dataskyddsregler för att skydda er integritet vid händelser som dessa.

Har du fler frågor är du välkommen att maila dataskydd.spcs@visma.com.

För mer information om hur vi hanterar dina uppgifter vänligen se våra användarvillkor.

Med vänlig hälsning
Charlotte von Sydow
VD Visma Spcs

Visma bör själva anmäla denna incident till Integritetsskyddsmyndigheten för att visa ansvarstagande och följa gällande regler.

Om någon betänker att anmäla så kan man göra det som grupp eller som enskild.

Vismas svar är otillräckligt för att åtgärda den allvarliga dataintrångsincident som inträffat. Det finns flera problem i svaret som bör adresseras i en anmälan till IMY:

• De nöjer sig med att bara "be om ursäkt" och inte tar tillräckligt ansvar för den betydande integritetsincident som skett. En enkel ursäkt är inte tillräckligt.
• Att enbart säga att "ingen kunddata har läckt" är vilseledande. Exponering av tusentals e-postadresser är i sig en allvarlig integritetsincident som omfattas av GDPR.
• Att säga att "felet åtgärdades direkt" ger ingen konkret information om vilka åtgärder de faktiskt vidtagit för att hantera konsekvenserna och förhindra framtida liknande incidenter.
• Deras försäkran om att de "följer GDPR" är tvetydig, när de tydligen har brustit i detta.
• Ingen antydan till att de själva anmäler incidenten till Integritetsskyddsmyndigheten.

I en anmälan ska deras svar vara med och det också starkt betona att Vismas svar är otillräckligt och inte transparent angående incidentens omfattning och hantering.

Hej,

Vi vill börja med att säga att vi ser otroligt allvarligt på denna händelse och tar detta på största allvar. Vi har full förståelse för att du som kund kan vara orolig över vad som har skett.

Vi har skickat in en anmälan om incidenten till Integritetsskyddsmyndigheten (IMY).

För er information så gäller följande när det kommer till rapportering till IMY:

Visma Spcs är i detta fallet ett personuppgiftsbiträde i förhållande till våra kunder, det vill säga Visma Spcs hanterar kundernas personuppgifter. I detta fall i form av mailadresser.

Vi har, som vi skrivit ovan, redan skickat in en anmälan för denna händelse till IMY från vårt håll. Men i vanliga fall är det den som är personuppgiftsansvarig, det vill säga du som är kund till oss, som tar beslut om man vill göra en anmälan, eller inte. Och är den som måste bedöma om det finns en risk för att mailadressen som synts kan påverka dig negativt.

/Visma Spcs

..offentliga mail.

Strider inte detta mot GDPR?

Gör om och gör rätt i er kommunikation.

• Vilka åtgärder har tagits? Är system/rutiner/säkerhet nu ändrade så detta omöjligen kan hände igen? Systemrutiner som förhindrar och detekterar och stoppar utskick som exponerar mottagare, är det på plats?
• Erkänn att kunddata har läckt i strid mot GDPR. Förminska inte händelse med att bara e-postadress och namn.
• Varför stod det inte i ert utskick att ni har anmält eller skulle anmäla till Integritetsskyddsmyndigheten?
• "följer GDPR och andra relevanta dataskyddsregler", hade ni gjort det hade denna incident aldrig inträffat.