Datum Diarienr
2012-09-12 1613-2011
Danske Bank A/S, Sverige Filial Arne Peterson
Box 7523
103 92 Stockholm
Tillsyn enligt personuppgiftslagen (1998:204) – bankers användning av s.k. appar
Datainspektionens beslut
Datainspektionen konstaterar att Danske Bank A/S, Sverige Filial, inte lever upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen genom att man via bankens appar kommer åt integritetskänsliga personuppgifter efter autentisering med enbart användarnamn och lösenord.
Datainspektionen förelägger Danske Bank A/S, Sverige Filial, att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan. I åtgärdsplanen ska banken redogöra för
a) vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen,
b) på vilka grunder banken bedömer att åtgärderna är verkningsfulla och tillräckliga samt
c) när åtgärderna kan vara vidtagna.
Redogörelse för tillsynsärendet
Med de senaste årens ökning av s.k. smarta telefoner har användningen av program, s.k. appar, som kan laddas ner till dessa telefoner ökat explosionsar- tat. För att få ökad kunskap kring denna företeelse och på vilket sätt använd- ningen av appar kan påverka den personliga integriteten inledde Datainspek- tionen ett projekt. Inom ramen för projektet har behandlingen av personupp- gifter och säkerheten för personuppgifterna i appar för mobiltelefoner med operativsystemen iOS från Apple (iPhone) och Android från Google granskats genom inspektioner hos tre banker.
Vid inspektionen hos Danske Bank A/S, Sverige filial (nedan Danske Bank) och i den efterföljande kommunikationen har i huvudsak följande framkom- mit.
Vem som helst kan ladda ner Danske Banks appar från App Store och Android Market. Det är bara användaren som kan starta och använda appen. Appen kan inte fjärrstyras. Det är tekniskt omöjligt för någon annan aktör att få tillgång till personuppgifter genom appen.
Utan någon inloggning kan användaren använda tjänster för att bl.a.
hitta närmaste kontor eller uttagsautomat, kontakta banken, konvertera valutor samt följa börser och skapa egna börslistor. Listorna sparas en- dast på användarens telefon.
Genom att logga in med hjälp av sitt personnummer och en servicekod kan den som är kund i Danske Banks internetbank se konto-/depå- namn, kontonummer, saldo, disponibelt belopp, transaktioner (inne- hållande namn, belopp och datum), värde och värdeutveckling på depå- innehav, kurslista med värdepapper som användaren valt, lista med vär- depapper som användaren valt att få ett meddelande om när kursen för- ändras samt uppgifter om tagna lån. Efter inloggning med servicekoden kan användaren också överföra pengar mellan egna konton.
Servicekoden är statisk och består av fyra siffror. Den skapas genom in- ternetbanken då användaren aktiverar den mobila banken med hjälp av sin koddosa. Användaren kan på samma sätt generera en ny servicekod när denne så önskar.
För att användaren ska kunna genomföra betalningar eller överföringar till andra med hjälp av appen loggar användaren in med sitt person- nummer och sin servicekod. För att därefter genomföra transaktioner krävs också en engångskod som användaren får tillgång till med hjälp av sin koddosa. Vid transaktioner via appen krävs, till skillnad från trans- aktioner via internetbanken, att användaren bekräftar varje transaktion för sig med en ny engångskod.
Följande behörigheter (API:er) är påkopplade i Danske Banks appar:
”Ringa telefonnummer direkt” – används när användaren väljer funk- tionen ”Kontakta oss” i appen. Telefonens telefonfunktion aktiveras, bankens telefonnummer matas in och rings upp.
”Ta bilder och spela in videoklipp” – När användaren ska genomföra en betalning kan denne välja att fotografera en kodrad i fakturan med sin mobilkamera. Då behöver användaren inte själv mata in uppgift om mottagarkonto, belopp och OCR-numret. Bilden skickas
och omvandlas till text. Den sparas varken hos Danske Bank, i appen eller i telefonen. Danske Bank kan inte aktivera användarens kamera.
Appen, eller Danske Bank, kan inte ta del av bilder som lagrats i an- vändarens telefon.
”Hitta plats (GPS)” – används endast när en användare nyttjar tjäns- ten för att få veta var närmaste kontor eller uttagsautomat finns. An- vändarens position sänds till Danske Bank. En kartbild som visar den erhållna positionen, bankomater och Danske Bank-kontor i närheten av den erhållna positionen skapas och skickas till appen. Använda- rens position sparas inte.
”Fullständig internetåtkomst” – Internetåtkomst är en förutsättning för att kunna använda appens funktioner. Användarens IP-adress an- vänds vid kommunikationen mellan appen och bankens system.
Danske Bank sparar inte IP-adressen på något sätt.
”Läsa telefonstatus och identitet” – används i tjänsten ”Kontakta oss”
enligt ovan. Appen ger inte banken tillgång till användarens telefon- bok eller samtalshistorik.
iOS-användare som använder tjänsterna för att hitta närmaste kontor respektive uttagsautomat för första gången får upp en ruta med texten
”Mobilbank vill använda din nuvarande plats” och kan välja ”Tillåt inte”
eller ”Ok”. Nästa gång användaren använder tjänsten kommer textrutan inte upp. Varje gång appen positionerar användaren visas dock en speci- ell ikon på telefonens skärm som indikerar att positionering pågår. Om användaren valt ”Ok”, men senare inte längre vill tillåta positioneringen kan denne avaktivera positioneringen i operativsystemets inställningar.
För Android-användare ställs motsvarande fråga i samband med instal- lation av appen.
Den som är kund hos Danske Banks internetbank har ingått avtal enligt generella villkor. Villkoren innehåller information om bankens behand- ling av personuppgifter. Då användaren aktiverar den mobila banken ingår denne avtal enligt Danske Banks villkor för servicekod. När det gäller bankens behandling av personuppgifter hänvisar villkoren för servicekod till de generella villkoren.
Datainspektionen har tagit del av den information om behandling av person- uppgifter som Danske Bank lämnar i sina villkor.
Efter att ha analyserat bankernas behandling av personuppgifter i sina appar övervägde Datainspektionen att kräva att bankerna använder sig av s.k. stark autentisering vid inloggningen via apparna. Myndigheten insåg att de beslut som man avsåg att fatta kan få konsekvenser för många banker, och inte bara de banker som besluten riktar sig mot, och att säkerhetskraven som man hade
för avsikt att ställa även skulle komma att gälla annan motsvarande kommu- nikation med banker som sker över Internet. Av den anledningen gav myn- digheten de banker som är föremål för tillsynen och Svenska Bankföreningen möjlighet att ta del av utkasten till beslut och med Datainspektionen diskute- ra den fortsatta hanteringen. Bankerna och Bankföreningen argumenterade mot stark autentisering och lyfte fram att det kan finnas andra alternativ för att stärka säkerheten vid autentiseringen av användarna.
Eftersom flera av bankerna bedriver verksamhet även i andra nordiska länder inledde Datainspektionen ett samrådsförfarande med de andra nordiska data- skyddsmyndigheterna kring frågan om det är rimligt att ställa krav på stark autentisering då kunden loggar in via sin banks app. Ingen av dataskydds- myndigheterna motsatte sig de utkast till beslut som Datainspektionen pre- senterade. Den norska myndigheten har uppgett att även den anser att de au- tentiseringsmetoder som de inspekterade bankerna använder inte uppfyller säkerhetskraven i dataskyddslagstiftningen, eftersom faktorer såsom t.ex. ut- rustnings-ID eller unik installation av appen inte används vid autentiseringen.
Den finska myndigheten har uppgett att bankerna där redan använder stark autentisering i enlighet med där gällande regelverk.
Skäl för beslutet Vad omfattar beslutet?
Det är förstås många olika personuppgifter som behandlas i samband med att banktransaktioner genomförs. Vi har valt att i detta beslut fokusera på be- handlingen av sådana uppgifter som aktualiseras när appar används.
När det gäller IT-säkerheten har vi, utöver det som ovan redogjorts för, grans- kat vidtagna säkerhetsåtgärder bl.a. vid kommunikationen mellan appen och banken samt bankens interna åtkomst till uppgifter. Vi har dock inte funnit något att anmärka på i dessa delar.
Behandlas personuppgifter?
Mot bakgrund av ovan gjord avgränsning har vi att, i denna del, bedöma han- teringen av IP-adresser och positioneringsuppgifter (GPS-koordinater).
Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § personuppgiftslagen).
En IP-adress utgör en personuppgift i de fall någon, t.ex. en Internetleveran- tör, kan hänföra uppgiften till en enskild abonnent eller användare som är en fysisk person. (Jfr Kammarrättens i Stockholm dom 2007-06-08 i mål nr 285- 07. Regeringsrätten meddelade inte prövningstillstånd i målet, beslut 2009- 06-16 i mål nr 3978-07.) När det gäller uppgifter som i vissa fall kan hänföras
till en individ är det ofta omöjligt att på förhand veta vilka uppgifter som kan hänföras till en individ och vilka uppgifter som inte kan det. Det innebär att alla sådana uppgifter i praktiken bör betraktas som personuppgifter. De IP- adresser som Danske Bank hanterar är följaktligen att anse som personuppgif- ter.
En smart telefon går vanligtvis att hänföra till en fysisk person. Därför finner Datainspektionen att positioneringsuppgifter från smarta telefoner är person- uppgifter (jfr Artikel 29-gruppens yttrande 13/2011).
Behandling (av personuppgifter) är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, användning, bearbetning och lagring (3 § personuppgiftslagen).
Danske Bank använder IP-adresser och positioneringsuppgifter enbart för att kommunicera med app-användaren respektive skapa en kartbild. Banken spa- rar inte uppgifterna. Även mycket kortvarig hantering är dock behandling av personuppgifter i lagens mening.
Datainspektionen kan således konstatera att Danske Bank behandlar person- uppgifter i form av IP-adresser och positioneringsuppgifter.
Vem är personuppgiftsansvarig?
Den som bestämmer ändamålen med och medlen för behandlingen av per- sonuppgifter är personuppgiftsansvarig (3 § personuppgiftslagen).
Banken saknar möjlighet att bestämma eller förfoga över uppgifter som an- vändaren lägger in lokalt i telefonen eller appen, och som aldrig når banken.
Sådan behandling av personuppgifter kan därför inte anses falla under ban- kens personuppgiftsansvar.
Däremot är banken personuppgiftsansvarig då den samlar in uppgifter via appen, även om det sker på användarens initiativ. Banken har aktivt möjlig- gjort användningen av appen och styr över dess funktioner. Insamlandet får anses påbörjat redan när uppgifterna skickas från appen, trots att banken då ännu inte förfogar över uppgifterna (jfr Högsta förvaltningsdomstolens dom 2012-06-05 i mål nr 4453-10).
Detta innebär att Danske Bank är personuppgiftsansvarig för den behandling av IP-adresser som utförs i samband med kommunikation mellan apparna och banken. Detsamma gäller den behandling av positioneringsuppgifter som utförs när användaren använder appen för att söka närmaste kontor eller ut- tagsautomat.
Vilka regler i personuppgiftslagen är tillämpliga?
Personuppgiftslagen gäller behandling av personuppgifter som helt eller del- vis är automatiserad (5 § första stycket). Vilka regler i personuppgiftslagen som är tillämpliga beror på hur materialet har strukturerats. Har materialet strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, är de s.k. hanteringsreglerna tillämpliga. Om materialet är ostrukturerat, är i stället den s.k. missbruksregeln tillämplig (5 a § första stycket).
Den behandling av IP-adresser och positioneringsuppgifter som Danske Bank utför är automatiserad. Behandlingen är dock kortvarig och uppgifterna spa- ras inte. Datainspektionen finner därför att materialet inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personupp- gifter. Således är missbruksregeln tillämplig på Danske Banks behandling av IP-adresser och positioneringsuppgifter.
Är behandlingen tillåten?
Enligt missbruksregeln får behandlingen inte utföras om den innebär en kränkning av den registrerades personliga integritet (5 a § andra stycket).
Vad som är en kränkning måste bedömas med hjälp av en avvägning i det en- skilda fallet, där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Avvägningen görs utifrån bl.a. vilka uppgifter som behandlas, i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad be- handlingen kan leda till.
I detta fall behandlas IP-adresser och positioneringsuppgifter och det kan sägas ske på användarens (den registrerades) initiativ. Behandlingen begrän- sas till vad som är nödvändigt för att kunna leverera det som användaren be- gärt och sparas inte därefter. När det gäller positioneringsuppgifter aviseras användaren om att uppgift om plats används, antingen när appen installeras eller första gången den aktuella funktionen används. Dessutom visas en speci- ell ikon på telefonens skärm varje gång positionering görs.
Vid en samlad bedömning finner Datainspektionen att Danske Banks be- handling av IP-adresser och positioneringsuppgifter är förenlig med person- uppgiftslagen.
Har tillräckliga säkerhetsåtgärder vidtagits?
Av 31 § personuppgiftslagen följer att den personuppgiftsansvarige är skyldig att vidta säkerhetsåtgärder, såväl tekniska som organisatoriska, för att skydda de personuppgifter som behandlas. För att skapa ett lämpligt skydd för per-
sonuppgifterna gäller det att göra en samlad bedömning som tar hänsyn till hur pass känsliga de behandlade personuppgifterna är, riskerna som finns med behandlingen av personuppgifterna, de tekniska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna.
Genom att logga in i appen med hjälp av sitt personnummer och en fyrsiffrig servicekod kan den som är kund i Danske Banks internetbank se följande över ett öppet nät.
Konto-/depånamn
Kontonummer
Saldo
Disponibelt belopp
Transaktioner (innehållande namn, belopp och datum)
Värde och värdeutveckling på depåinnehav
Kurslista med värdepapper som användaren valt
Lista med värdepapper som användaren valt att få ett meddelande om när kursen förändras
Uppgifter om tagna lån
Enligt Datainspektionens allmänna råd är uppgifter om enskildas personliga och ekonomiska förhållanden inom bankväsendet normalt att anse som in- tegritetskänsliga. Ett uttryck för att det är fråga om integritetskänsliga uppgif- ter är att uppgifterna omfattas av sekretess.
Särskilt med tanke på att appar ofta används på offentliga platser finns en ökad risk för att någon obehörig lyckas komma åt inloggningsuppgifterna.
Denne skulle därefter, genom att enkelt ladda ner bankens app till sin egen smarta telefon, kunna logga in i appen och obehörigen ta del av en stor mängd uppgifter, utan att den behörige användaren märker det.
Datainspektionen anser att det kan medföra stora risker för den enskildes personliga integritet om någon obehörig får tillgång till t.ex. uppgifter om konton, transaktioner med namn på mottagaren eller avsändaren och skuld- sättning. Uppgifterna skulle kunna användas till att kartlägga, inte bara stora delar av en persons ekonomiska förhållanden, utan även var denne har befun- nit sig och dennes inköpsvanor. Uppgifterna om transaktioner kan dessutom innehålla känsliga uppgifter i personuppgiftslagens mening, t.ex. genom att avslöja den enskildes vårdgivare.
Risken för dataintrång är betydligt högre om man använder sig av enbart lö- senord för autentisering, än om man utöver lösenord använder sig av ytterli- gare någon faktor vid autentiseringen. Den ökade risken beror på att det är lättare att komma åt enbart ett lösenord, än att skaffa sig åtkomst till exem-
pelvis både någons bankkort eller smarta telefon och lösenordet. Dessutom är det lättare för en användare att upptäcka att man har blivit av med till exem- pel sitt bankkort eller sin smarta telefon, än att någon obehörig har lyckats avslöja lösenordet.
Inom bankväsendet används redan idag lösningar som e-legitimation, koddo- sor och engångslösenord. Det talar för att kostnaden för att införa en starkare autentiseringslösning inte skulle behöva bli orimligt hög.
Vid en samlad bedömning av hur pass känsliga de behandlade personuppgif- terna är, riskerna som finns med behandlingen av personuppgifterna, de tek- niska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna finner Datainspektionen att den autentiseringslösning som Danske Bank för närvarande använder i sin app inte lever upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen.
Datainspektionen förelägger därför Danske Bank att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan, i vilken man ska redogöra för vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen, på vilka grunder banken bedömer att åtgärderna är verkningsfulla och tillräckliga samt när åtgärderna kan vara vidtagna.
Hur man överklagar
Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skri- velsen vilket beslut som överklagas och den ändring som ni begär. Inspektio- nen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt.
_____________________________
Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, tillsynschefen Catharina Fernquist, ju- risten Malin Fredholm och IT-säkerhetsspecialisten Adolf Slama, föredragan- de.
Göran Gräslund Adolf Slama
