Påföljdsavgift för Aktia för datasäkerhetsbrister i tjänsten för stark autentisering

Påföljdsavgift för Aktia för datasäkerhetsbrister i tjänsten för stark autentisering

Påföljdskollegiet vid dataombudsmannens byrå har påfört Aktia Bank en påföljdsavgift på 865 000 euro för försummelse av datasäkerheten i tjänsten för elektronisk autentisering. På grund av en kortvarig störning hade en del personer som loggat in i olika e-tjänster med Aktias bankkoder fått tillgång till andra kunders mycket personliga uppgifter, eftersom tjänsten blandade ihop personernas autentiseringar. Dataombudsmannens byrå anser att banken hade brister i planeringen, genomförandet och testningen av den tekniska ändring som gjordes i tjänsten.

På grund av en teknisk ändring förekom en störning i Aktias tjänst för stark elektronisk autentisering i januari 2023. Störningen varade i ungefär en timme och under den tiden hade en del personer som loggade in med Aktias nätbankskoder i tjänster som kräver stark autentisering sett andra personers uppgifter. Det hade också varit möjligt att uträtta ärenden i en annan kunds namn.

Personuppgiftsincidenten gällde tjänster för myndighetsärenden, arbetslöshetskassor, försäkringsbolag och tjänsteleverantörer inom hälso- och sjukvården. Felet gällde dock inte inloggningen i Aktias nätbank. Störningen berörde e-tjänster som innehåller uppgifter med en stark koppling till privatlivet, såsom uppgifter om hälsan och den ekonomiska ställningen.

"Den starka autentiseringen måste fungera korrekt, eftersom syftet med den är att säkerställa tjänsteanvändarens identitet och att användarens uppgifter förblir konfidentiella. Med bankkoder loggar man in i tjänster som innehåller uppgifter man inte vill att ska bli synliga för andra", konstaterar biträdande dataombudsman Heljä-Tuulia Pihamaa.

Cirka 350 personer drabbades av personuppgiftsincidenten. Enligt Aktia är det inte känt att uppgifterna skulle ha missbrukats på grund av störningen.

Autentiseringstjänstens datasäkerhet borde ha säkerställts genom tillräcklig hantering av förändringsprocessen

Dataombudsmannens byrå utredde Aktias verksamhet och orsaken till störningen. I utredningen upptäcktes att Aktia borde ha planerat och genomfört den tekniska ändringen av autentiseringstjänsten mer omsorgsfullt och testat tjänstens funktion tillräckligt efter ändringen. Funktionaliteten kunde ha testats på ett mer heltäckande sätt med allmänt använda metoder. Efter störningen har Aktia tagit i bruk testmetoder för att säkerställa att autentiseringarna inte går i kors.

"Vilka åtgärder som är tillräckliga beror alltid på organisationens bransch och vilken typ av tjänst det är fråga om. Ju större mängder personuppgifter som behandlas och ju allvarligare följder äventyrandet av dem kan medföra för människor, desto mer måste man satsa på säkerhet och behövliga åtgärder", påminner Pihamaa.

Påföljdskollegiet påförde Aktia en administrativ påföljdsavgift, eftersom banken inte hade följt dataskyddslagstiftningens krav på säker behandling av personuppgifter. Vid bedömningen av påföljdsavgiftens belopp beaktades att Aktia hade beredskap att reagera snabbt på störningen och utan dröjsmål hade vidtagit åtgärder för att korrigera situationen, varvid skadorna kunde lindras.

Biträdande dataombudsmannen gav också banken en anmärkning för brott mot dataskyddsförordningen. Besluten har inte ännu vunnit laga kraft och de kan överklagas genom besvär hos förvaltningsdomstolen.

Påföjlkollegiets och biträdande dataombudsmannens beslut om Aktia på Finlex på finska

Mer information:

​​​​​​​Biträdande dataombudsman Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029 566 6787

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.