Facebook noscript imageAvanza delade kunduppgifter med Facebook – misstänkt GDPR-brott
Ekonomi
Avanza delade kunduppgifter med Facebook – misstänkt GDPR-brott
Arkivbild. Foto: Henrik Montgomery/TT.
Arkivbild. Foto: Henrik Montgomery/TT.

Nätmäklaren Avanza, med över en miljon kunder i Sverige, har delat med sig av kunduppgifter till Facebook i över ett års tid.

Bolaget har nu strypt flödet och anmält sig själv till Integritetsskyddsmyndigheten (IMY).

Facebook har till följd av en felaktig inställning hos Avanza som slogs på hösten 2019 fått ta del av Avanzakunders personnummer, telefonnummer, mejladresser och information om befintliga lån, rapporterar Sveriges Radio Ekot.

En halv miljon nya Avanzakunder, som tillkommit under perioden, kan ha berörts, enligt Ekot.

– Våra kunder har inte kommit till skada på grund av det här. Det är vår uppfattning, även om det är otroligt klantigt av oss, säger Avanzas vd Rikard Josefson till TT.

– Facebook har inte fått reda på vilka aktier, värdepapper eller hur mycket pengar du har. Ingen sådan information har gått vidare, tillägger han.

Läs även: Störningar i Klarna-appen – användare kan se andras uppgifter

Ett handhavandefel

Uppgifterna som Facebook fått om Avanzas kunder har varit hashade, vilket är en typ av kryptering. Men hashad information räknas också som personuppgifter, enligt IMY.

Informationen har bestått av uppgifter som Facebook använder när bolaget matchar olika användarprofiler med riktade annonskampanjer och marknadsföring som det sociala nätverket säljer till företag.

Den felaktiga inställningen hos Avanza upptäcktes i samband med en intervju med Sveriges Radio och funktionen stängdes då omedelbart av.

– Det är en anställd som har gjort ett handhavandefel i våra inställningar och på så sätt förorsakat det här, säger Josefson.

Hur ser det ut nu?

– Vi har stängt av allting, all sådan delgivning. Det är självklart att vi har gjort det.
– Vi håller nu på att gå igenom varenda koppling vi har med tredje part för att se att det inte finns något annat handhavandefel som har inträffat.

Har det blivit ett personalärende?

– Nej. Även om konsekvensen blivit väldigt stor kan människor göra fel.

Läs även: Swedbank: Bopriser nära smärtgränsen

Kan bli tillsynsärende

IMY (före detta Datainspektionen) får varje vecka in cirka 80–100 anmälningar om personuppgiftsincidenter som den som nu anmälts av Avanza.

Hur stor andel av anmälningarna som kommer från bank- och finanssektorn finns ingen statistik på, enligt Per Lövgren, pressansvarig på myndigheten.

Normalt tar det kanske två månader för myndigheten att avgöra om en anmälan ska bli ett tillsynsärende, som sedan kan ta betydligt längre tid att slutföra.

– Det är väldigt få av de här 80–100 anmälningarna per vecka där vi går vidare med egen tillsyn, säger Lövgren.

TT Nyheter

fakta

Fakta: GDPR-brott kan sluta med sanktionsavgift

För de allvarligaste överträdelserna kan IMY efter en tillsyn avslutats besluta om sanktionsavgifter på 20 miljoner euro eller fyra procent av bolagets totala omsättning.

IMY har hittills fattat beslut om ett tjugotal sanktionsavgifter för brott mot EU:s dataskyddsförordning GDPR. I de flesta fall handlar det om regioner, sjukhus och vårdföretag som bötfällts.

Den högsta avgiften hittills åkte sökmotorn Google på, som i mars i fjol fick betala 75 miljoner kronor sedan det konstaterats brister i hur användares historiska sökresultat hanterades av Google.

Källor: Integritetsskyddsmyndigheten, GDPR Enforcement Tracker