Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Datum Diarienr 2012-09-12 1612-2011 Nordea Bank AB Björn Möller 105 71 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar Datainspektionens beslut Datainspektionen konstaterar att Nordea Bank AB inte uppfyller sin skyldighet att självmant informera de registrerade om behandlingen av deras personuppgifter enligt 23-25 personuppgiftslagen. Datainspektionen konstaterar vidare att Nordea Bank AB inte lever upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen genom att man i samband med användande av så kallade appar kommer åt integritetskänsliga personuppgifter efter autentisering med enbart användarnamn och lösenord. Datainspektionen förelägger Nordea Bank AB att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan. I åtgärdsplanen ska banken redogöra för a) vilka konkreta åtgärder banken avser att vidta för att uppfylla sin skyldighet att självmant informera de registrerade enligt 23-25 personuppgiftslagen, b) vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen, c) på vilka grunder banken bedömer att åtgärderna under b) är verkningsfulla och tillräckliga samt d) när åtgärderna under a) respektive b) kan vara vidtagna. Redogörelse för tillsynsärendet Med de senaste årens ökning av s.k. smarta telefoner har användningen av program, s.k. appar, som kan laddas ner till dessa telefoner ökat explosionsartat. För att få ökad kunskap kring denna företeelse och på vilket sätt användningen av appar kan påverka den personliga integriteten inledde Datainspektionen ett projekt. Inom ramen för projektet har behandlingen av personupp- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

gifter och säkerheten för personuppgifterna i appar för mobiltelefoner med operativsystemen ios från Apple (iphone) och Android från Google granskats genom inspektioner hos tre banker. Vid inspektionen hos Nordea Bank AB (nedan Nordea) och i den efterföljande kommunikationen har i huvudsak följande framkommit. Nordeas appar är tillgängliga för alla. Det är bara på användarens initiativ som appen kan startas och användas. Appen kan inte fjärrstyras. Nordea har ingen möjlighet att bereda sig åtkomst till några personuppgifter i användarens app eller telefon. Ingen annan aktör kan få tillgång till personuppgifter genom appen. Appen har sin egen sandlåda och informationen i appen kan inte spridas till andra appar. Utan inloggning kan användaren kontakta banken per telefon, se aktuella aktiekurser och konvertera valutor. Nordea behandlar den anropande appens IP-adress endast för att kunna lämna den begärda informationen till appen. IP-adressen loggas inte. Användaren kan också göra spar- respektive lånekalkyler utan inloggning. Användaren matar själv in de uppgifter som denne vill använda i beräkningarna. Senast genomförda beräkningen sparas i lokalt iphoneappen. Det sker ingen kommunikation med Nordea inom ramen för dessa funktioner. Härutöver finns en funktion för låneanteckningar där användaren kan föra in uppgifter om vem man är skyldig och vem man lånat ut till. Funktionen är kopplad till användarens kontaktlista på så sätt att användaren kan välja att hämta namnen på personer som man är skyldig respektive lånar ut till från kontaktlistan för att föra in dessa i låneanteckningarna. Anteckningarna sparas endast i appen. Det sker ingen kommunikation med Nordea inom ramen för denna funktion. För att logga in i Nordeas mobilbank eller telefonbank krävs att användaren är kund hos Nordea. Användaren loggar in i internetbanken med hjälp av sitt personnummer och sin personliga kod. Inloggningen är inbyggd i själva appen. I Android-appen har användaren möjlighet att välja att spara sitt personnummer i samband med inloggningen. Samma funktion kommer att läggas till i iphone-appen. När användaren väl är inloggad i Nordeas internetbank används inte själva appen längre. Kommunikationen sker då med Nordeas servrar. Den personliga koden består av fyra siffror och är förbestämd av banken. Nordea distribuerar koden antingen via ett förseglat kuvert hos ett bankkontor eller genom att skicka hem koden till användaren i ett sä- Sida 2 av 10

kerhetskuvert. Om användaren glömmer bort koden eller annars vill ha en ny kod kan användaren beställa en ny via ett bankkontor eller över telefon. Användaren kan inte själv välja kod. När användaren har loggat in med personnummer och personlig kod kan denne se konton, kontonummer, saldo, disponibelt belopp, kontooch korttransaktioner (innehållande datum, namn och belopp), datum och belopp på kommande betalningar, aviserade betalningar (förhandsaviserade autogiron), datum och belopp på e-fakturor, aktie- och fondinnehav, kommande aktieaffärer (orderstatus) samt uppgifter om tagna lån, pensions- och kapitalförsäkringar. För att genomföra andra transaktioner krävs inloggning med personnumret, den personliga koden samt ett kort, en kortläsare och pinkoden till kortet. I samband med användning av mobilbanken loggas IP-adresser för att användas vid utredning av brottsliga attacker och incidenter. Uppgifterna används dock endast vid förfrågan från rättsvårdande myndigheter. De loggar som innehåller IP-adresser sparas vanligtvis i 13 månader. Endast personal med affärsmässigt behov av tillgång till loggarna har sådan tillgång. Följande behörigheter (API:er) är påkopplade i Nordeas appar: Fullständig internetåtkomst Internetåtkomst är en förutsättning för att kunna använda vissa av apparnas funktioner. Läsa kontaktinformation används för att användaren ska kunna använda sin kontaktlista i telefonen i funktionen låneanteckningar enligt ovan. På Nordeas webbplats, Android Market och App Store finns likalydande information om behandlingen av personuppgifter. Nordea avser att se över texten för att göra den tydligare. Information om vilka behörigheter som är påkopplade i appen finns på Android Market och syns i telefonen vid nedladdning därifrån. I själva appen finns det ingen information om personuppgiftsbehandlingen. Nordeas avsikt är att sådan information ska finnas i framtida appar. Datainspektionen har tagit del av den information om behandling av personuppgifter som Nordea har presenterat. Efter att ha analyserat bankernas behandling av personuppgifter i sina appar övervägde Datainspektionen att kräva att bankerna använder sig av s.k. stark autentisering vid inloggningen via apparna. Myndigheten insåg att de beslut Sida 3 av 10

som man avsåg att fatta kan få konsekvenser för många banker, och inte bara de banker som besluten riktar sig mot, och att säkerhetskraven som man hade för avsikt att ställa även skulle komma att gälla annan motsvarande kommunikation med banker som sker över Internet. Av den anledningen gav myndigheten de banker som är föremål för tillsynen och Svenska Bankföreningen möjlighet att ta del av utkasten till beslut och med Datainspektionen diskutera den fortsatta hanteringen. Bankerna och Bankföreningen argumenterade mot stark autentisering och lyfte fram att det kan finnas andra alternativ för att stärka säkerheten vid autentiseringen av användarna. Eftersom flera av bankerna bedriver verksamhet även i andra nordiska länder inledde Datainspektionen ett samrådsförfarande med de andra nordiska dataskyddsmyndigheterna kring frågan om det är rimligt att ställa krav på stark autentisering då kunden loggar in via sin banks app. Ingen av dataskyddsmyndigheterna motsatte sig de utkast till beslut som Datainspektionen presenterade. Den norska myndigheten har uppgett att även den anser att de autentiseringsmetoder som de inspekterade bankerna använder inte uppfyller säkerhetskraven i dataskyddslagstiftningen, eftersom faktorer såsom t.ex. utrustnings-id eller unik installation av appen inte används vid autentiseringen. Den finska myndigheten har uppgett att bankerna där redan använder stark autentisering i enlighet med där gällande regelverk. Skäl för beslutet Vad omfattar beslutet? Det är förstås många olika personuppgifter som behandlas i samband med att banktransaktioner genomförs. Vi har valt att i detta beslut fokusera på behandlingen av sådana uppgifter som aktualiseras när appar används. När det gäller IT-säkerheten har vi, utöver det som ovan redogjorts för, granskat vidtagna säkerhetsåtgärder bl.a. vid kommunikationen mellan appen och banken samt bankens interna åtkomst till uppgifter. Vi har dock inte funnit något att anmärka på i dessa delar. Behandlas personuppgifter? Mot bakgrund av ovan gjord avgränsning har vi att, i denna del, bedöma hanteringen av IP-adresser. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 personuppgiftslagen). En IP-adress utgör en personuppgift i de fall någon, t.ex. en Internetleverantör, kan hänföra uppgiften till en enskild abonnent eller användare som är en fysisk person. (Jfr Kammarrättens i Stockholm dom 2007-06-08 i mål nr 285-07. Regeringsrätten meddelade inte prövningstillstånd i målet, beslut 2009- Sida 4 av 10

06-16 i mål nr 3978-07.) När det gäller uppgifter som i vissa fall kan hänföras till en individ är det ofta omöjligt att på förhand veta vilka uppgifter som kan hänföras till en individ och vilka uppgifter som inte kan det. Det innebär att alla sådana uppgifter i praktiken bör betraktas som personuppgifter. De IPadresser som Nordea hanterar är följaktligen att anse som personuppgifter. Behandling (av personuppgifter) är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, användning, bearbetning och lagring (3 personuppgiftslagen). I vissa situationer hanterar Nordea den anropande appens IP-adress endast för att kunna lämna den begärda informationen till appen, utan att logga eller på annat sätt spara den. I andra situationer loggar Nordea IP-adresser för att kunna utreda brottsliga attacker och incidenter. Till att börja med kan Datainspektionen konstatera att Nordeas loggning av IP-adresser innebär behandling i personuppgiftslagens mening. Även mycket kortvarig hantering är behandling av personuppgifter i personuppgiftslagens mening och därför är även Nordeas hantering av IP-adresser för att kommunicera med app-användaren behandling i lagens mening. Datainspektionen konstaterar således att båda sätten som Nordea hanterar IPadresser på innebär att Nordea behandlar personuppgifter i personuppgiftslagens mening. Vem är personuppgiftsansvarig? Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig (3 personuppgiftslagen). Banken saknar möjlighet att bestämma eller förfoga över uppgifter som användaren lägger in lokalt i telefonen eller appen, och som aldrig når banken. Sådan behandling av personuppgifter kan därför inte anses falla under bankens personuppgiftsansvar. Däremot är banken personuppgiftsansvarig då den samlar in uppgifter via appen, även om det sker på användarens initiativ. Banken har aktivt möjliggjort användningen av appen och styr över dess funktioner. Insamlandet får anses påbörjat redan när uppgifterna skickas från appen, trots att banken då ännu inte förfogar över uppgifterna (jfr Högsta förvaltningsdomstolens dom 2012-06-05 i mål nr 4453-10). Vidare är banken personuppgiftsansvarig får den behandling som banken utför genom att logga IP-adresser. Sida 5 av 10

Detta innebär att Nordea är personuppgiftsansvarig för den behandling av IPadresser som utförs i samband med kommunikation mellan apparna och banken och den behandling av IP-adresser som utförs genom loggning. Vilka regler i personuppgiftslagen är tillämpliga? Personuppgiftslagen gäller behandling av personuppgifter som helt eller delvis är automatiserad (5 första stycket). Vilka regler i personuppgiftslagen som är tillämpliga beror på hur materialet har strukturerats. Har materialet strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, är de s.k. hanteringsreglerna tillämpliga. Om materialet är ostrukturerat, är i stället den s.k. missbruksregeln tillämplig (5 a första stycket). Till att börja med kan Datainspektionen konstatera att båda de typer av behandlingar av IP-adresser som Nordea utför och är ansvariga för är automatiserade, och att de således omfattas av personuppgiftslagen. Datainspektionen kan vidare konstatera att den kortvariga behandling av IPadresser som utförs i samband med kommunikationen mellan apparna och banken inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. I den situationen är således missbruksregeln tillämplig. Sådana tekniska loggar av t.ex. IP-adresser som Nordea använder är typiskt sett strukturerade på ett sådant sätt att hanteringsreglerna är tillämpliga. Det torde vidare krävas att materialet har en personuppgiftsanknuten struktur för att överhuvudtaget kunna användas för sitt syfte att utreda brottsliga attacker och incidenter. Mot denna bakgrund utgår Datainspektionen från att hanteringsreglerna är tillämpliga på Nordeas loggning av IP-adresser. Är behandlingen tillåten? Missbruksregeln När det gäller Nordeas kortvariga behandling av IP-adresser i samband med kommunikationen mellan apparna och banken är alltså missbruksregeln tilllämplig. Enligt missbruksregeln får behandlingen inte utföras om den innebär en kränkning av den registrerades personliga integritet (5 a andra stycket). Vad som är en kränkning måste bedömas med hjälp av en avvägning i det enskilda fallet, där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Avvägningen görs utifrån bl.a. vilka uppgifter som behandlas, i vilket sammanhang uppgifterna förekommer, för vilket syfte Sida 6 av 10

de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. I detta fall behandlas IP-adresser och det kan sägas ske på användarens (den registrerades) initiativ. Behandlingen begränsas till vad som är nödvändigt för att kunna leverera det som användaren begärt och sparas inte därefter. Vid en samlad bedömning finner Datainspektionen att Nordeas behandling av IP-adresser i samband med kommunikationen mellan apparna och banken är förenlig med personuppgiftslagen. Hanteringsreglerna När det gäller frågan om Nordeas behandling av IP-adresser i form av loggning är tillåten är hanteringsreglerna i personuppgiftslagen tillämpliga. I 10 personuppgiftslagen finns en uttömmande uppräkning av i vilka situationer det är tillåtet att behandla personuppgifter. Som huvudregel får personuppgifter bara behandlas om den registrerade har samtyckt till behandlingen. Från denna huvudregel finns en rad undantag. T.ex. får personuppgifter behandlas om det är nödvändigt för att uppfylla ett avtal med den registrerade eller efter en s.k. intresseavvägning. Datainspektionen kan inte finna att någon annan rättslig grund än intresseavvägningen är aktuell att tillämpa på Nordeas behandling av personuppgifter genom loggning av IP-adresser. Intresseavvägningen innebär att behandlingen är tillåten om den är nödvändig för ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige, eller hos en sådan tredje man till vilken personuppgifterna lämnas ut, ska kunna tillgodoses, förutsatt att detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. För att avgöra detta måste man göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet, t.ex. syftet med behandlingen, vilka slag av personuppgifter som behandlas, på vilket sätt uppgifterna behandlas, spridningen av uppgifterna, säkerheten för uppgifterna, gallringsrutiner och vilken information de registrerade får. Nordea loggar IP-adresser i syfte att kunna utreda brottsliga attacker och incidenter. Logguppgifterna används endast vid förfrågan från rättsvårdande myndigheter och sparas vanligtvis i 13 månader. Endast personal med affärsmässigt behov av tillgång till loggarna har sådan tillgång. De registrerade får ingen information om att IP-adresser loggas. Efter en samlad bedömning av omständigheterna i detta fall finner Datainspektionen att Nordeas behandling är tillåten enligt personuppgiftslagen. Sida 7 av 10

Får de registrerade tillräcklig information? Inledningsvis vill Datainspektionen påminna om att informationsplikten gäller först då hanteringsreglerna är tillämpliga. Det innebär att frågan i detta fall blir om Nordea har lämnat tillräcklig information om sin behandling av personuppgifter i form av loggning av IP-adresser. Om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 personuppgiftslagen). Sådana elektroniska spår, t.ex. IP-adresser, som uppkommer vid den registrerades användning av datanätverk anses ha samlats in från den registrerade själv. Information ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse (25 personuppgiftslagen). Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Nordea lämnar ingen information till appanvändarna om att IP-adresser loggas. De registrerade kan inte förutsättas känna till att IP-adresser loggas i samband med att appar används. Därmed föreligger inget undantag från informationsskyldigheten. Datainspektionen kan således konstatera att Nordea inte uppfyller sin informationsplikt enligt personuppgiftslagen. Nordea har uttalat att man avser att se över informationstexten om behandling av personuppgifter i Nordeas applikationer. Datainspektionen förelägger därför Nordea att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan, i vilken man ska redogöra för vilka konkreta åtgärder banken avser att vidta för att uppfylla sin skyldighet att självmant informera de registrerade enligt 23-25 personuppgiftslagen och när åtgärderna kan vara vidtagna. Har tillräckliga säkerhetsåtgärder vidtagits? Av 31 personuppgiftslagen följer att den personuppgiftsansvarige är skyldig att vidta säkerhetsåtgärder, såväl tekniska som organisatoriska, för att skydda de personuppgifter som behandlas. För att skapa ett lämpligt skydd för personuppgifterna gäller det att göra en samlad bedömning som tar hänsyn till hur pass känsliga de behandlade personuppgifterna är, riskerna som finns med behandlingen av personuppgifterna, de tekniska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna. Sida 8 av 10

Genom att logga in i appen med hjälp av sitt personnummer och en fyrsiffrig servicekod kan den som är kund i Nordeas mobilbank se följande över ett öppet nät. Konton Kontonummer Saldo Disponibelt belopp Konto- och korttransaktioner (innehållande datum, namn och belopp) Datum och belopp på kommande betalningar Aviserade betalningar (förhandsaviserade autogiron) Datum och belopp på e-fakturor Aktie- och fondinnehav Kommande aktieaffärer (orderstatus) Uppgifter om tagna lån Pensions- och kapitalförsäkringar Enligt Datainspektionens allmänna råd är uppgifter om enskildas personliga och ekonomiska förhållanden inom bankväsendet normalt att anse som integritetskänsliga. Ett uttryck för att det är fråga om integritetskänsliga uppgifter är att uppgifterna omfattas av sekretess. Särskilt med tanke på att appar ofta används på offentliga platser finns en ökad risk för att någon obehörig lyckas komma åt inloggningsuppgifterna. Denne skulle därefter, genom att enkelt ladda ner bankens app till sin egen smarta telefon, kunna logga in i appen och obehörigen ta del av en stor mängd uppgifter, utan att den behörige användaren märker det. Datainspektionen anser att det kan medföra stora risker för den enskildes personliga integritet om någon obehörig får tillgång till t.ex. uppgifter om konton, transaktioner med namn på mottagaren eller avsändaren och skuldsättning. Uppgifterna skulle kunna användas till att kartlägga, inte bara stora delar av en persons ekonomiska förhållanden, utan även var denne har befunnit sig och dennes inköpsvanor. Uppgifterna om transaktioner kan dessutom innehålla känsliga uppgifter i personuppgiftslagens mening, t.ex. genom att avslöja den enskildes vårdgivare. Risken för dataintrång är betydligt högre om man använder sig av enbart lösenord för autentisering, än om man utöver lösenord använder sig av ytterligare någon faktor vid autentiseringen. Den ökade risken beror på att det är lättare att komma åt enbart ett lösenord, än att skaffa sig åtkomst till exempelvis både någons bankkort eller smarta telefon och lösenordet. Dessutom är det lättare för en användare att upptäcka att man har blivit av med till exem- Sida 9 av 10

pel sitt bankkort eller sin smarta telefon, än att någon obehörig har lyckats avslöja lösenordet. Inom bankväsendet används redan idag lösningar som e-legitimation, koddosor och engångslösenord. Det talar för att kostnaden för att införa en starkare autentiseringslösning inte skulle behöva bli orimligt hög. Vid en samlad bedömning av hur pass känsliga de behandlade personuppgifterna är, riskerna som finns med behandlingen av personuppgifterna, de tekniska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna finner Datainspektionen att den autentiseringslösning som Nordea för närvarande använder i sin app inte lever upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen. Datainspektionen förelägger därför Nordea att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan, i vilken man ska redogöra för vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen, på vilka grunder banken bedömer att åtgärderna är verkningsfulla och tillräckliga samt när åtgärderna kan vara vidtagna. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, tillsynschefen Catharina Fernquist, juristen Malin Fredholm och IT-säkerhetsspecialisten Adolf Slama, föredragande. Göran Gräslund Adolf Slama Sida 10 av 10