Ekot granskar

Ännu en bank har läckt personuppgifter till Facebook

2:10 min
  • Efter Ekots rapportering om hur banker hanterar personuppgifter på nätet så granskar Integritetsskyddsmyndigheten två banker som läckt uppgifter till Facebook.
  • Ekot kan i dag avslöja att en tredje bank, Collector, också läckt personuppgifter till teknikföretaget.
  • "Det var den mänskliga faktorn som hade spelat in", säger Kajsa Lernestål som är marknadsföringschef på banken.

– Vi har delat personuppgifter och det var oönskat från vårt håll, säger Kajsa Lernestål.

I juni avslöjade Ekot att två svenska banker – Avanza och Länsförsäkringar – läckt personuppgifter till Facebook. Bankerna riskerar nu sanktionsavgifter efter att Integritetsskyddsmyndigheten inlett granskningar av dem.

Nu kan vi berätta att en tredje bank, Collector, läckt blivande kunders personuppgifter till Facebook.

Efter att Collector tog del av Ekots rapportering om de andra bankerna inledde Collector en översyn, och upptäckte att de också läckte uppgifter till teknikföretaget.

De tre bankerna hade aktiverat en funktion som gjorde att Facebook samlade in uppgifter ur formulär som besökare fyllde i på deras webbplatser. Efter Ekots rapportering om de andra bankerna täppte Collector till sin läcka.

– Så fort vi upptäckte det så stängde vi av funktionen omedelbart, säger Kajsa Lernestål.

När Ekot fyllde i Collectors formulär om att öppna sparkonto, så skickade banken vidare mejladress och telefonnummer till Facebook. Uppgifterna skickades automatiskt trots att Facebook själva säger att banker inte får använda den funktionen.

Enligt Collector har läckan inte brutit mot banksekretessen, bland annat eftersom man inte måste vara kund för att fylla i formuläret på deras webbplats.

Men Per-Ola Jansson, en av Sveriges främsta experter på området, anser att Collector kan ha brutit mot banksekretessen.

– Om uppgifter om en kund, eller den som är på väg att bli kund, på något sätt läcker ut, så är det i strid med banksekretessen. Och det finns ju inget specifikt undantag för några hemsidor eller så, utan läcker det så läcker det.

Hemsidebesökarnas uppgifter har inte skickats i klartext utan hashats. Lite förenklat innebär det att Facebook måste ha uppgifterna, eller ta fram samma uppgifter, för att kunna se det som skickats från Collector i klartext.

Efter att Facebook försökt para ihop dem med sina befintliga användare, har företaget, enligt Collector, raderat dem.

Banken säger att läckan pågick från början av året till i juni, men vill inte säga hur många som berörts.

– Det är information som vi inte delar externt heller, säger Kajsa Lernestål, marknadsföringschef på Collector.