Mobiloperatören Telenor har utan sina kunders vetskap delat privata uppgifter med en underleverantör. Det rör sig om mellan 120 000 och 140 000 personer som drabbats – och nu varnar Skatteverket för vad som hänt.
- De drabbade loggade in på Skatteverket via Telenors webbsajt
- Underleverantör kunde komma åt personliga uppgifter
- Telenor vägrar säga om underleverantören gjort fel
- Händelsen är anmäld till flera myndigheter
De som fått sin privata information läckt har någon gång loggat in på Skatteverkets Mina Sidor via Telenors webbsajt med bank-ID de senaste månaderna. Därigenom kunde underleverantören Identitrade AB komma åt uppgifter på Skatteverkets webbsajt, exempelvis adresser och inkomster.
Skatteverket belyser faktumet att den delning av information på sättet som skett är praktiskt möjlig, men också förbjudet. Exakt varför det har skett i fallet med Telenor och Identitrade AB är i skrivande stund oklart.
Händelsen är anmäld till Post och Telestyrelsen samt Myndigheten för samhällsskydd och beredskap. Skatteverket har också blockerat Identitrade AB från att komma åt mer information på sättet som använts.
Telenor har skickat ett meddelande via SMS till sina kunder om händelsen.
Mobiloperatören menar att det hela kunnat ske efter en felinställning i tjänsten Mitt Telenor. En tjänst som stängdes ner direkt när problemet uppdagades. Telenors kommunikationschef Aron Samuelsson förtydligar till Aftonbladet vilka uppgifter som hämtats från Skatteverket.
— Det vi tycker är viktigt att belysa är att vi har gjort oss skyldiga till ett misstag. Det handlar om samtycke, men tyvärr har fler uppgifter än uppgifterna som gäller under samtycket hämtats. Det är inte alla uppgifter, men det är uppgifter som namn och adress. Inte inkomst. Tyvärr har Skatteverket gått ut med information som inte är fullständig, säger Aron Samuellsson.
Aron Samuelsson säger också till Aftonbladet att händelsen är anmäld till Datainspektionen, både av Telenor och Skatteverket.
Huruvida Identitrade AB har gjort något fel vill han dock inte säga något om. Identitrade AB bekräftar till Dagens Nyheter att de hämtat data från Skatteverket på ett sätt som de [Skatteverket] inte tyckt om. Enligt Aron kommer händelsen med underleverantören hanteras internt och menar att kunderna ska ställa sina krav till Telenor. Klart är dock att det hela kunnat fortgå i hela tre veckor innan någon reagerade.
Och nu varnar Skatteverket – igen – för att man aldrig ska gå via privata aktörer när man loggar in på myndighetens tjänster. Det ger nämligen åtkomst till alla privata uppgifter som finns hos Skatteverket om den som loggar in, och det finns inget som hindrar aktören från att ta del av dem.
Vilket exempelvis hände i fallet med Telenor.
Tanken var att användaren skulle identifiera sig och bekräfta sitt personnummer för Telenor genom Skatteverket. Istället skedde inte bara det, utan den felaktiga inställningen gjorde att bland annat namn och adress lagrades hos Telenor. Inkomster och deklaration ska däremot inte ha hämtats enligt Aron Samuelsson.
Den berörda tjänsten är idag stängt och all data som hämtats är raderad från Telenors servrar.
— Vi har säkerställt att kunden inte är utsatt för någon risk och inte behöver vidta några åtgärder, säger Aron Samuellsson.
Här är det kompletta mejlet som skickades från Skatteverket om händelsen:
Incident med personuppgifter – Telenor / Skatteverket
Hej!
Skatteverket vill informera dig om en händelse som rör personuppgifter. Du behöver inte göra något efter att ha läst brevet, utan det är bara avsett som information.
Om du har besökt Telenors webbplats under de senaste månaderna kan du ha ombetts att logga in till Skatteverket med din e-legitimation, för att förenkla ditt ärende hos dem. Vad du inte fick veta var att Telenors underleverantör Identitrade AB, via sin tjänst Identiway, i och med det skaffade sig tillgång till information om dig som finns på Skatteverkets Mina sidor. Det vill säga var du bor, vilken inkomst du haft under året med mera. Skatteverket ser allvarligt på detta. Den tekniska möjligheten att dela information på det sättet finns visserligen, men det är inte tillåtet att använda den.
Du kan även ha ombetts att logga in till Skatteverket via något annat företags webbplats. Vi är i så fall tacksamma om du kontaktar oss.
Skatteverkets åtgärder
Skatteverket har sedan den 5 juni spärrat Telenors och Identitrade AB:s möjlighet att få tillgång till dina uppgifter, och enligt våra samtal med Telenor finns inget som tyder på att uppgifterna som har hämtats har spridits vidare. Skatteverket har också anmält händelsen till Datainspektionen. Vi beklagar det som hänt.
På www.e-legitimation.se kan du läsa om hur du själv kan bidra till att undvika den här typen av situationer.
Om du har frågor
Om du har frågor om händelsen ber vi dig att kontakta Telenor, www.telenor.se/id. Om du har frågor om Skatteverkets personuppgiftsbehandling är du välkommen att mejla till [email protected].
Vänliga hälsningar,
Skatteverket
Läs mer om händelsen på Telenors webbsajt.
