Norge: BRAbank bötfälls med 400 000 norska kronor för brister i samband med lanseringen av kundportal för banktjänster

Den norska dataskyddsmyndigheten Datatilsynet bötfäller BRAbank ASA med 400 000 norska kronor för brott mot artiklarna 24 och 32.1-2 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att ärendet inleddes med en anmälan om en inträffad personuppgiftsincident den 6 september 2019 från dåvarande Easybank ASA. Enligt anmälan kunde vissa kunder se andra kunders lånevillkor när banken lanserade “Min sida” för ett mindre urval av kunder. “Min sida” är enligt banken en lösning där kunderna får en överblick över sitt lånåtagande.

Om kunden följde en länk för att verifiera kontaktinformation kunde de få kontaktinformationen till andra kunder. Denna information var inte nödvändigtvis relaterad till det lån de fått tillgång till. Några kunder fick också tillgång till en annan kunds adressinformation och vissa fick felaktig låninformation. Händelsen inträffade under en period då “Min sida” rullades ut för ett urval av 500 av bankens kunder. BRAbank har informerat de kunder som potentiellt har påverkats av händelsen.

Efter att ha utfört ytterligare utredningar av ärendet har Datatilsynet kommit fram till att banken inte uppfyllt GDPR:s krav på att genomföra en konsekvensbedömning avseende dataskydd. Banken har inte heller vidtagit lämpliga tekniska åtgärder (testning) i samband med lanseringen av kundportalen. Datatilsynets bedömning är att personuppgiftsinciden kunde ha förhindrats om banken genomfört en konsekvensbedömning avseende dataskydd och vidtagit lämpliga tekniska åtgärder för testning enligt lag.

Enligt Datatilsynet kräver GDPR att den personuppgiftsansvarige genomför konsekvensbedömningar avseende dataskydd och vidtar lämpliga tekniska åtgärder såsom testning mot bakgrund av den risk deras tjänst medför för de registrerade. I det aktuella fallet har Datatilsynet lagt tyngre vikt vid att BRAbank behandlat kundernas finansiella uppgifter, och att det är information som individer uppfattar som mycket privata. Detta gäller särskilt information om konsumentlån och refinansiering. Informationens privata karaktär påverkar vilka tekniska och organisatoriska åtgärder den personuppgiftsansvarige måste vidta för att skydda personuppgifternas säkerhet. Till skillnad från till exempel inkomst är finansiell information inte offentligt tillgänglig information. Datatilsynet integritetsundersökningar har också visat att information om personlig ekonomi upplevs som särskilt värdig skydd. Så många som 89 procent trodde detta  enligt Datatilsynets undersökning för 2019/2020 .

BRAbank har tre veckor på sig att överklaga Datatilsynets beslut.

Enligt Datatilsynet har BRAbank accepterat myndighetens beslut om sanktionsavgifter i sin helhet.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på norska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.