Folksam anmälde till Datainspektionen att de delat en miljon kunders personuppgifter, inklusive känslig information som graviditet eller facklig tillhörighet, med tredje parter som Facebook och Google. Problemet uppstod genom webbskript som kombinerade krypterade personnummer med specifika köpflöden, vilket gjorde informationen känslig och otillåten att behandla. Bristerna upptäcktes under ett penetrationstest i samband med implementering av ett nytt riskförsäkringssystem. Folksam har åtgärdat de problematiska skripten och begränsat överföring av data till tredje land, men betonar att webbanalys och marknadsföring fortsatt är avsikten. Incidenten belyser branschgemensamma utmaningar kring datadelning, tolkningen av Schrems II-domen och definitionen av personuppgifter som IP-nummer.