Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har ålagt Aktia Bank en sanktionsavgift på 865 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att det i januari 2023 uppstod ett omkring en timme långt avbrott i Aktia Banks tjänst för stark elektronisk identifiering till följd av en teknisk förändring. Avbrottet ledde till att vissa användare som loggade in med sina Aktia-bankkoder till tjänster som kräver stark autentisering felaktigt fick tillgång till andra kunders personliga uppgifter. I vissa fall kunde användare även genomföra åtgärder i en annan kunds namn. Incidenten drabbade ett flertal samhällskritiska tjänster, bland annat myndigheter, arbetslöshetskassor, försäkringsbolag och vårdgivare, där uppgifter om hälsa och ekonomisk situation regelmässigt är särskilt känsliga. Sammanlagt påverkades omkring 350 personer, även om Aktia Bank uppger att inga fall av faktisk missanvändning är kända.
Efter en omfattande utredning konstaterade Dataombudsmannens byrå att Aktia Bank brustit i planeringen, genomförandet och testningen av den tekniska förändringen. Den säkerhetsnivå som krävs för en sådan tjänst hade inte säkerställts genom adekvat förändringshantering. Myndigheten framhöll att funktionaliteten borde ha testats mer omfattande med standardiserade och allmänt använda metoder. Även om Aktia Bank efter incidenten infört nya testförfaranden för att förhindra att identifieringar blandas ihop förändrar detta inte bedömningen av de ursprungliga bristerna.
Dataombudsmannens byrå konsaterade därför att Aktia Bank inte uppfyllt kraven på säker behandling av personuppgifter enligt principen om integritet och konfidentialitet i artikel 5.1(f) GDPR, samt att banken åsidosatt skyldigheten att genom lämpliga tekniska och organisatoriska åtgärder säkerställa en säkerhetsnivå som är proportionerlig i förhållande till riskerna enligt artikel 32.1 GDPR.