Brott mot banksekretessen gav 15 miljoner i sanktionsavgift

Författare:

|

Datum:

|

Avanza Bank måste betala en sanktionsavgift på 15 miljoner kronor för en allvarlig personuppgiftsincident. Banken har på grund av ett misstag delat mycket känsliga finansiella data med Meta (tidigare Facebook) om sina kunder.

Vad hände?

Mellan november 2019 och juni 2021 överförde Avanza Bank oavsiktligt känslig personlig och finansiell information om sina kunder till Meta. Informationen skickades ofta i klartext och inkluderade personnummer, värde på tillgångar, skatter, lånesummor och kontonummer.

Två kraftfulla spårningsfunktioner aktiverades av misstag och orsakade problemet. En funktion registrerade vad kunden fyllde i ett formulär, till exempel när de ansökte om att vara kund eller för ett lån. Den andra funktionen bestämde själv vilken information som var relevant och skickade den till Meta.

En teknisk förklaring

Det finns verktyg som hjälper företag att förstå hur användare interagerar med deras webbplatser. Meta tillhandahåller kraftfulla verktyg som gör det möjligt för webbplatsägare att spåra användarnas beteende. Denna typ av spårning kan dock också inkräkta på den personliga integriteten.

Formulär och automatisk avancerad matchning

Automatisk avancerad matchning (AAM) är en funktion som kan ses som en supereffektiv assistent som hjälper till att koppla ihop det du gör på en webbplats med din Facebook-profil. När besökare fyllde i formulär på Avanza Banks webbplats – till exempel för att ansöka om att bli kund eller om ett lån – samlade AAM in uppgifter som inkluderade:

  • Personnummer
  • Kontaktuppgifter såsom telefonnummer och e-postadresser
  • Finansiell information inklusive värdet på tillgångar, lånebelopp och kontonummer
  • Anställningsinformation och detaljer om låneansökan

Innan uppgifterna skickades till Meta konverterades de till ett hash-format. Det innebär i princip att uppgifterna pseudonymiseras till en teckensträng som inte kan användas för att återidentifiera informationen i klartext utan att tillföra ny information. Den oavsiktliga aktiveringen av AAM innebar dock att dessa känsliga uppgifter samlades in och delades med Meta. 

Automatisk registrering av användarbeteende

Metas pixel erbjuder även registrering av ”Automatiska händelser”. Detta är ett mycket kraftfullt och potentiellt mer integritetskränkande spårningsverktyg som kräver minimal installation. Detta verktyg medför att webbplatsägaren inte manuellt behöver märka upp eller ge instruktioner till spårningsverktyget om varje enskild bild, knapp eller informationsfält på webbplatsen. Istället registrerar Metas programvara vad användaren gör på webbplatsen och försöker automatiskt fastställa och klassificera användaråtgärder (t.ex. om ”köpknappen” är en användares åtgärd för att köpa en produkt).

Utredningen från IMY visar att följande information delades med Meta i klartext genom AH:

  • Värdepappersinnehav och värden på innehav, såsom tillgängligt belopp för köp, uttag och värdeutveckling 
  • Information om lånebelopp
  • Kontonummer och kreditlimit 
  • Avgifter, skatter och aktuella räntor 
  • Pågående ordrar och dagens avslut 
  • Firmatecknare och bank som pension flyttas från 
  • E-postadress och personnummer

Brott mot banksekretessen

Det inträffade var inte bara ett brott mot GDPR utan även ett brott mot den svenska banksekretessen. Enligt 1 kap. 10 § i lagen (2004:297) om bank- och finansieringsrörelse är det förbjudet för banker att utan tillstånd lämna ut kunders personliga och ekonomiska information. Syftet med denna lag är att säkerställa att en kunds interaktioner och transaktioner med en bank förblir konfidentiella om inte kunden har gett sitt uttryckliga samtycke eller om det krävs enligt lag.

I detta fall utgjorde Avanza Banks oavsiktliga delning av detaljerad finansiell information, som inkluderar personnummer, lånebelopp och kontouppgifter, med Meta ett tydligt brott mot detta sekretesskrav. Genom det här misstaget exponerades känsliga uppgifter för obehöriga tredje parter, vilket undergrävde kundernas förtroende för att deras bank skyddar deras personuppgifter.

Grunderna för sanktionsavgiften

IMY utdömde en sanktion på 15 miljoner kronor. Företaget hade visserligen rutiner och policyer på papper för att göra rättsliga bedömningar av användningen av spårningsmetoder, men den oavsiktliga aktiveringen av Metas spårningstekniker innebar att de här rutinerna inte följdes. Företaget hade inga rutiner på plats för att upptäcka eventuell aktivering av dessa tekniker av misstag, utan företaget blev medvetet om personuppgiftsincidenten eftersom den upptäcktes av någon utanför banken. IMY vägde också in att informationen var av känslig natur och att den ingick i bankens kärnverksamhet.

Läs mer:

Tillsyn av Avanzas användning av Meta-pixel (imy.se), 25 juni 2024