Vi sparar data i cookies, genom att använda våra tjänster godkänner du det.

Riktig journalistik gör skillnad.

Daniel Filipsson (M) är kommunstyrelsens ordförande i Alingsås sedan tio år – hans uppgifter hos Alingsås sparbank skickades till fel kund.

Den här artikeln ingår för dig som är kund.

Banken skickade kända politikerns känsliga uppgifter fel

En IT-företagare ville testa personuppgiftslagen GDPR och begärde ut sina känsliga uppgifter från banken. Det gick så där – istället fick han det lokala kommunalrådets uppgifter om lån, konton och bankärenden.

EU:s nya personuppgiftslag stadgar att personer som hamnar i företag, myndigheters och institutioners register ska kunna begära ut uppgifterna. Detta gäller i hög grad också banker, som hanterar känslig ekonomisk information. En av den här regionens banker är Sparbanken Alingsås, en av de fristående sparbankerna i landet.

Du läser nu en av dina fria artiklar på GP.se

På bankens hemsida skriver man följande om sin hantering av personuppgifter: ”I Sparbanken Alingsås AB har vi lång erfarenhet av att lagra och hantera kunders data och information som en del av bankverksamheten. Det är viktigt för oss att du känner dig trygg ...Vi skyddar informationen och behandlar den på ett korrekt sätt.”

Johan Henriksson är vd för IT-företaget Gym Control i Alingsås, ett företag som hjälper gymkedjor i landet att hantera information om sina kunder – och därmed i sin yrkesutövning kunnig i hanteringen av personuppgifter och den nya lagstiftningen GDPR. Han är också mångårig kund hos Alingsås Sparbank, en bank han förklarar att han har haft god relation till och varit nöjd med. I alla fall till den sista månaden.

Fick inte alla uppgifter

Han ville kontrollera hur hans bankinformation hanterades av hans bank, efter att han hört påståenden om att bankinformation skulle kunna ha läckts. Därför begärde han ut personuppgifter med uppgifter om konto, lån etcetera, samt även den logg som visar vilka som varit inne och hanterat hans konto. Banken förklarade att de skulle bevilja ett utdrag av själva personuppgifterna enligt GDPR, ett registerutdrag. Banken nekade dock att lämna ut logguppgifter med hänvisning till att det rör personuppgifter om bland annat bankens anställda.

– Jag har varit i kontakt med Finansinspektionen kring denna logginformation jag inte fick ut och får se om jag går vidare med det.

Johan Henriksson bad ut känslig personuppgiftsinformation från Alingsås Sparbank – och fick kommunalrådets information i stället.. Bild: Björn Olsson

När banken väl lämnade ut GDPR-informationen om till exempel konto, saldo, lån, noteringar från bankmöten och eventuella övertrasseringar så tyckte han att siffrorna var märkliga – vilket fick sin förklaring när han tittade i sidhuvudet på dokumentet. Där det står ”Filipsson, Per Daniel”. Denne Daniel Filipsson är också kund i banken och till yttermera visso moderat kommunstyrelseordförande i Alingsås sedan 2008.

”Olustigt”

– Jag begärde ut detta för att kontrollera att personuppgifterna hanterades korrekt och fick i stället uppgifter om fel person. Det är löjeväckande, men samtidigt olustigt – kan någon annan ha fått mina uppgifter? frågar sig Johan Henriksson.

När han kontaktade Datainspektionen karaktäriserade myndigheten det inträffande som ”obehörigt röjande av särskilt känslig personuppgift”. Banker omfattas av banksekretess.

En sak ytterligare som irriterar honom är att han tog kontakt med banken om ett möte i veckan där han konstaterade att han hade fått felaktiga uppgifter. Bankens vd, Angelica Petersson, ställde sedan in mötet och bad honom i stället att skicka över bevisningen han har.

– Men på bankens egen hemsida står det tydligt att man inte ska skicka den här typen av information via e-post, konstaterar Johan Henriksson.

På sparbankens hemsida står det: ”Banken eller dess samarbetspartner kommer aldrig att be dig att skicka konfidentiell information såsom kortnummer, kontonummer och liknande via e-post.”

Utsatt position

När GP kontaktar kommunalrådet Daniel Filipsson förklarar han också att det inträffade är olustigt.

– Jag hade begärt ut mina uppgifter från en rad myndigheter för att testa GDPR. Och jag fick mina uppgifter från Alingsås Sparbank. Men sedan får jag reda på att även en annan person fått mina uppgifter. Det här hade varit olustigt för vem som helst, men med tanke på den position jag har är det extra bekymmersamt att sådana här uppgifter hamnar i fel händer. Jag kan ju inte veta om ytterligare någon fått mina uppgifter förutom företagaren.

GP har sökt Alingsås Sparbanks tillförordnade flera gånger, Angelica Petersson, och får sedan svar via mejl via en medarbetare efter att vi mejlat en rad frågor om det inträffade.

Det svar vd:n ger är att hon inte kan kommentera enskilda ärenden men skriver vidare: ”Vi kan bekräfta att vi har haft en personuppgiftsincident och gjort en anmälan till Datainspektionen. Vi har omgående vidtagit åtgärder och har sett över våra interna rutiner för att säkerställa att något liknande inte händer igen. Vi ser mycket allvarligt på händelsen och beklagar det inträffade.”

Banken har gett samma information till de drabbade kunderna.

Fakta: Personuppgifter och banksekretess

* Enligt dataskyddsförordningen måste organisationer ha rutiner för att hantera personuppgiftsincidenter.

* En sådan incident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. En sådan risk är när man förlorar kontrollen över uppgifter eller rättigheter kränks, till exempel finansiell förlust eller brott mot sekretess och tystnadsplikt.

* Rapporteras inte personuppgiftsincidenter i tid kan det leda till sanktionsavgifter på upp till 10 miljoner euro.

* Banksekretess regleras i Lagen om bank- och finansieringsrörelse. Sekretessen omfattar alla uppgifter som rör en bankkunds mellanhavanden med banken. Till och med uppgiften att en viss person är eller inte är kund i banken omfattas av sekretessen.

* Om en banktjänsteman bryter mot sekretessen kan banken bli tvungen att betala skadestånd till den drabbade bankkunden, ifall det kan visas att denne lidit ekonomisk skada.

Källa: Alli Abdulla, jurist Datainspektionen, samt Konsumenternas.se

Vill du veta mer om hur GP arbetar med kvalitetsjournalistik? Läs våra etiska regler här.