Datum Diarienr 2012-09-12 1613-2011 Danske Bank A/S, Sverige Filial Arne Peterson Box 7523 103 92 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar Datainspektionens beslut Datainspektionen konstaterar att Danske Bank A/S, Sverige Filial, inte lever upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen genom att man via bankens appar kommer åt integritetskänsliga personuppgifter efter autentisering med enbart användarnamn och lösenord. Datainspektionen förelägger Danske Bank A/S, Sverige Filial, att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan. I åtgärdsplanen ska banken redogöra för a) vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen, b) på vilka grunder banken bedömer att åtgärderna är verkningsfulla och tillräckliga samt c) när åtgärderna kan vara vidtagna. Redogörelse för tillsynsärendet Med de senaste årens ökning av s.k. smarta telefoner har användningen av program, s.k. appar, som kan laddas ner till dessa telefoner ökat explosionsartat. För att få ökad kunskap kring denna företeelse och på vilket sätt användningen av appar kan påverka den personliga integriteten inledde Datainspektionen ett projekt. Inom ramen för projektet har behandlingen av personuppgifter och säkerheten för personuppgifterna i appar för mobiltelefoner med operativsystemen ios från Apple (iphone) och Android från Google granskats genom inspektioner hos tre banker. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Vid inspektionen hos Danske Bank A/S, Sverige filial (nedan Danske Bank) och i den efterföljande kommunikationen har i huvudsak följande framkommit. Vem som helst kan ladda ner Danske Banks appar från App Store och Android Market. Det är bara användaren som kan starta och använda appen. Appen kan inte fjärrstyras. Det är tekniskt omöjligt för någon annan aktör att få tillgång till personuppgifter genom appen. Utan någon inloggning kan användaren använda tjänster för att bl.a. hitta närmaste kontor eller uttagsautomat, kontakta banken, konvertera valutor samt följa börser och skapa egna börslistor. Listorna sparas endast på användarens telefon. Genom att logga in med hjälp av sitt personnummer och en servicekod kan den som är kund i Danske Banks internetbank se konto-/depånamn, kontonummer, saldo, disponibelt belopp, transaktioner (innehållande namn, belopp och datum), värde och värdeutveckling på depåinnehav, kurslista med värdepapper som användaren valt, lista med värdepapper som användaren valt att få ett meddelande om när kursen förändras samt uppgifter om tagna lån. Efter inloggning med servicekoden kan användaren också överföra pengar mellan egna konton. Servicekoden är statisk och består av fyra siffror. Den skapas genom internetbanken då användaren aktiverar den mobila banken med hjälp av sin koddosa. Användaren kan på samma sätt generera en ny servicekod när denne så önskar. För att användaren ska kunna genomföra betalningar eller överföringar till andra med hjälp av appen loggar användaren in med sitt personnummer och sin servicekod. För att därefter genomföra transaktioner krävs också en engångskod som användaren får tillgång till med hjälp av sin koddosa. Vid transaktioner via appen krävs, till skillnad från transaktioner via internetbanken, att användaren bekräftar varje transaktion för sig med en ny engångskod. Följande behörigheter (API:er) är påkopplade i Danske Banks appar: Ringa telefonnummer direkt används när användaren väljer funktionen Kontakta oss i appen. Telefonens telefonfunktion aktiveras, bankens telefonnummer matas in och rings upp. Ta bilder och spela in videoklipp När användaren ska genomföra en betalning kan denne välja att fotografera en kodrad i fakturan med sin mobilkamera. Då behöver användaren inte själv mata in uppgift om mottagarkonto, belopp och OCR-numret. Bilden skickas Sida 2 av 8
och omvandlas till text. Den sparas varken hos Danske Bank, i appen eller i telefonen. Danske Bank kan inte aktivera användarens kamera. Appen, eller Danske Bank, kan inte ta del av bilder som lagrats i användarens telefon. Hitta plats (GPS) används endast när en användare nyttjar tjänsten för att få veta var närmaste kontor eller uttagsautomat finns. Användarens position sänds till Danske Bank. En kartbild som visar den erhållna positionen, bankomater och Danske Bank-kontor i närheten av den erhållna positionen skapas och skickas till appen. Användarens position sparas inte. Fullständig internetåtkomst Internetåtkomst är en förutsättning för att kunna använda appens funktioner. Användarens IP-adress används vid kommunikationen mellan appen och bankens system. Danske Bank sparar inte IP-adressen på något sätt. Läsa telefonstatus och identitet används i tjänsten Kontakta oss enligt ovan. Appen ger inte banken tillgång till användarens telefonbok eller samtalshistorik. ios-användare som använder tjänsterna för att hitta närmaste kontor respektive uttagsautomat för första gången får upp en ruta med texten Mobilbank vill använda din nuvarande plats och kan välja Tillåt inte eller Ok. Nästa gång användaren använder tjänsten kommer textrutan inte upp. Varje gång appen positionerar användaren visas dock en speciell ikon på telefonens skärm som indikerar att positionering pågår. Om användaren valt Ok, men senare inte längre vill tillåta positioneringen kan denne avaktivera positioneringen i operativsystemets inställningar. För Android-användare ställs motsvarande fråga i samband med installation av appen. Den som är kund hos Danske Banks internetbank har ingått avtal enligt generella villkor. Villkoren innehåller information om bankens behandling av personuppgifter. Då användaren aktiverar den mobila banken ingår denne avtal enligt Danske Banks villkor för servicekod. När det gäller bankens behandling av personuppgifter hänvisar villkoren för servicekod till de generella villkoren. Datainspektionen har tagit del av den information om behandling av personuppgifter som Danske Bank lämnar i sina villkor. Efter att ha analyserat bankernas behandling av personuppgifter i sina appar övervägde Datainspektionen att kräva att bankerna använder sig av s.k. stark autentisering vid inloggningen via apparna. Myndigheten insåg att de beslut som man avsåg att fatta kan få konsekvenser för många banker, och inte bara de banker som besluten riktar sig mot, och att säkerhetskraven som man hade Sida 3 av 8
för avsikt att ställa även skulle komma att gälla annan motsvarande kommunikation med banker som sker över Internet. Av den anledningen gav myndigheten de banker som är föremål för tillsynen och Svenska Bankföreningen möjlighet att ta del av utkasten till beslut och med Datainspektionen diskutera den fortsatta hanteringen. Bankerna och Bankföreningen argumenterade mot stark autentisering och lyfte fram att det kan finnas andra alternativ för att stärka säkerheten vid autentiseringen av användarna. Eftersom flera av bankerna bedriver verksamhet även i andra nordiska länder inledde Datainspektionen ett samrådsförfarande med de andra nordiska dataskyddsmyndigheterna kring frågan om det är rimligt att ställa krav på stark autentisering då kunden loggar in via sin banks app. Ingen av dataskyddsmyndigheterna motsatte sig de utkast till beslut som Datainspektionen presenterade. Den norska myndigheten har uppgett att även den anser att de autentiseringsmetoder som de inspekterade bankerna använder inte uppfyller säkerhetskraven i dataskyddslagstiftningen, eftersom faktorer såsom t.ex. utrustnings-id eller unik installation av appen inte används vid autentiseringen. Den finska myndigheten har uppgett att bankerna där redan använder stark autentisering i enlighet med där gällande regelverk. Skäl för beslutet Vad omfattar beslutet? Det är förstås många olika personuppgifter som behandlas i samband med att banktransaktioner genomförs. Vi har valt att i detta beslut fokusera på behandlingen av sådana uppgifter som aktualiseras när appar används. När det gäller IT-säkerheten har vi, utöver det som ovan redogjorts för, granskat vidtagna säkerhetsåtgärder bl.a. vid kommunikationen mellan appen och banken samt bankens interna åtkomst till uppgifter. Vi har dock inte funnit något att anmärka på i dessa delar. Behandlas personuppgifter? Mot bakgrund av ovan gjord avgränsning har vi att, i denna del, bedöma hanteringen av IP-adresser och positioneringsuppgifter (GPS-koordinater). Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 personuppgiftslagen). En IP-adress utgör en personuppgift i de fall någon, t.ex. en Internetleverantör, kan hänföra uppgiften till en enskild abonnent eller användare som är en fysisk person. (Jfr Kammarrättens i Stockholm dom 2007-06-08 i mål nr 285-07. Regeringsrätten meddelade inte prövningstillstånd i målet, beslut 2009-06-16 i mål nr 3978-07.) När det gäller uppgifter som i vissa fall kan hänföras Sida 4 av 8
till en individ är det ofta omöjligt att på förhand veta vilka uppgifter som kan hänföras till en individ och vilka uppgifter som inte kan det. Det innebär att alla sådana uppgifter i praktiken bör betraktas som personuppgifter. De IPadresser som Danske Bank hanterar är följaktligen att anse som personuppgifter. En smart telefon går vanligtvis att hänföra till en fysisk person. Därför finner Datainspektionen att positioneringsuppgifter från smarta telefoner är personuppgifter (jfr Artikel 29-gruppens yttrande 13/2011). Behandling (av personuppgifter) är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, användning, bearbetning och lagring (3 personuppgiftslagen). Danske Bank använder IP-adresser och positioneringsuppgifter enbart för att kommunicera med app-användaren respektive skapa en kartbild. Banken sparar inte uppgifterna. Även mycket kortvarig hantering är dock behandling av personuppgifter i lagens mening. Datainspektionen kan således konstatera att Danske Bank behandlar personuppgifter i form av IP-adresser och positioneringsuppgifter. Vem är personuppgiftsansvarig? Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig (3 personuppgiftslagen). Banken saknar möjlighet att bestämma eller förfoga över uppgifter som användaren lägger in lokalt i telefonen eller appen, och som aldrig når banken. Sådan behandling av personuppgifter kan därför inte anses falla under bankens personuppgiftsansvar. Däremot är banken personuppgiftsansvarig då den samlar in uppgifter via appen, även om det sker på användarens initiativ. Banken har aktivt möjliggjort användningen av appen och styr över dess funktioner. Insamlandet får anses påbörjat redan när uppgifterna skickas från appen, trots att banken då ännu inte förfogar över uppgifterna (jfr Högsta förvaltningsdomstolens dom 2012-06-05 i mål nr 4453-10). Detta innebär att Danske Bank är personuppgiftsansvarig för den behandling av IP-adresser som utförs i samband med kommunikation mellan apparna och banken. Detsamma gäller den behandling av positioneringsuppgifter som utförs när användaren använder appen för att söka närmaste kontor eller uttagsautomat. Sida 5 av 8
Vilka regler i personuppgiftslagen är tillämpliga? Personuppgiftslagen gäller behandling av personuppgifter som helt eller delvis är automatiserad (5 första stycket). Vilka regler i personuppgiftslagen som är tillämpliga beror på hur materialet har strukturerats. Har materialet strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, är de s.k. hanteringsreglerna tillämpliga. Om materialet är ostrukturerat, är i stället den s.k. missbruksregeln tillämplig (5 a första stycket). Den behandling av IP-adresser och positioneringsuppgifter som Danske Bank utför är automatiserad. Behandlingen är dock kortvarig och uppgifterna sparas inte. Datainspektionen finner därför att materialet inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Således är missbruksregeln tillämplig på Danske Banks behandling av IP-adresser och positioneringsuppgifter. Är behandlingen tillåten? Enligt missbruksregeln får behandlingen inte utföras om den innebär en kränkning av den registrerades personliga integritet (5 a andra stycket). Vad som är en kränkning måste bedömas med hjälp av en avvägning i det enskilda fallet, där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Avvägningen görs utifrån bl.a. vilka uppgifter som behandlas, i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. I detta fall behandlas IP-adresser och positioneringsuppgifter och det kan sägas ske på användarens (den registrerades) initiativ. Behandlingen begränsas till vad som är nödvändigt för att kunna leverera det som användaren begärt och sparas inte därefter. När det gäller positioneringsuppgifter aviseras användaren om att uppgift om plats används, antingen när appen installeras eller första gången den aktuella funktionen används. Dessutom visas en speciell ikon på telefonens skärm varje gång positionering görs. Vid en samlad bedömning finner Datainspektionen att Danske Banks behandling av IP-adresser och positioneringsuppgifter är förenlig med personuppgiftslagen. Har tillräckliga säkerhetsåtgärder vidtagits? Av 31 personuppgiftslagen följer att den personuppgiftsansvarige är skyldig att vidta säkerhetsåtgärder, såväl tekniska som organisatoriska, för att skydda de personuppgifter som behandlas. För att skapa ett lämpligt skydd för per- Sida 6 av 8
sonuppgifterna gäller det att göra en samlad bedömning som tar hänsyn till hur pass känsliga de behandlade personuppgifterna är, riskerna som finns med behandlingen av personuppgifterna, de tekniska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna. Genom att logga in i appen med hjälp av sitt personnummer och en fyrsiffrig servicekod kan den som är kund i Danske Banks internetbank se följande över ett öppet nät. Konto-/depånamn Kontonummer Saldo Disponibelt belopp Transaktioner (innehållande namn, belopp och datum) Värde och värdeutveckling på depåinnehav Kurslista med värdepapper som användaren valt Lista med värdepapper som användaren valt att få ett meddelande om när kursen förändras Uppgifter om tagna lån Enligt Datainspektionens allmänna råd är uppgifter om enskildas personliga och ekonomiska förhållanden inom bankväsendet normalt att anse som integritetskänsliga. Ett uttryck för att det är fråga om integritetskänsliga uppgifter är att uppgifterna omfattas av sekretess. Särskilt med tanke på att appar ofta används på offentliga platser finns en ökad risk för att någon obehörig lyckas komma åt inloggningsuppgifterna. Denne skulle därefter, genom att enkelt ladda ner bankens app till sin egen smarta telefon, kunna logga in i appen och obehörigen ta del av en stor mängd uppgifter, utan att den behörige användaren märker det. Datainspektionen anser att det kan medföra stora risker för den enskildes personliga integritet om någon obehörig får tillgång till t.ex. uppgifter om konton, transaktioner med namn på mottagaren eller avsändaren och skuldsättning. Uppgifterna skulle kunna användas till att kartlägga, inte bara stora delar av en persons ekonomiska förhållanden, utan även var denne har befunnit sig och dennes inköpsvanor. Uppgifterna om transaktioner kan dessutom innehålla känsliga uppgifter i personuppgiftslagens mening, t.ex. genom att avslöja den enskildes vårdgivare. Risken för dataintrång är betydligt högre om man använder sig av enbart lösenord för autentisering, än om man utöver lösenord använder sig av ytterligare någon faktor vid autentiseringen. Den ökade risken beror på att det är lättare att komma åt enbart ett lösenord, än att skaffa sig åtkomst till exem- Sida 7 av 8
pelvis både någons bankkort eller smarta telefon och lösenordet. Dessutom är det lättare för en användare att upptäcka att man har blivit av med till exempel sitt bankkort eller sin smarta telefon, än att någon obehörig har lyckats avslöja lösenordet. Inom bankväsendet används redan idag lösningar som e-legitimation, koddosor och engångslösenord. Det talar för att kostnaden för att införa en starkare autentiseringslösning inte skulle behöva bli orimligt hög. Vid en samlad bedömning av hur pass känsliga de behandlade personuppgifterna är, riskerna som finns med behandlingen av personuppgifterna, de tekniska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna finner Datainspektionen att den autentiseringslösning som Danske Bank för närvarande använder i sin app inte lever upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen. Datainspektionen förelägger därför Danske Bank att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan, i vilken man ska redogöra för vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säkerhetsåtgärder enligt 31 personuppgiftslagen, på vilka grunder banken bedömer att åtgärderna är verkningsfulla och tillräckliga samt när åtgärderna kan vara vidtagna. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, tillsynschefen Catharina Fernquist, juristen Malin Fredholm och IT-säkerhetsspecialisten Adolf Slama, föredragande. Göran Gräslund Adolf Slama Sida 8 av 8