Sanktionsavgift mot S-Pankki: lärdomar om testning och incidenthantering

När autentisering av inloggning inte fungerar som den ska kan konsekvenserna bli omfattande. Den finska banken S-Pankki fick nyligen en sanktionsavgift för ett allvarligt dataintrång som visade på brister både i systemtestning och i incidenthantering. Beslutet ger viktiga lärdomar för alla organisationer som behandlar personuppgifter. För att undvika liknande risker kan GDPR-rådgivning vara ett viktigt stöd.

Bakgrund: vad hände hos S-Pankki?

Felet uppstod i bankens system för stark autentisering. Ett programvaruproblem gjorde det möjligt för en person att logga in i internetbanken och i andra tjänster som krävde stark autentisering – med någon annans användaruppgifter.

Banken fick de första kundrapporterna om problemet våren 2022. Det tog dock flera månader innan personuppgiftsincidenten identifierades fullt ut och anmäldes till tillsynsmyndigheten.

Varför blev det en GDPR-sanktion?

Tillsynsmyndigheten konstaterade att banken hade brustit på två centrala punkter:

• Bristande testning: Innan den autentiseringslösningen lanserades hade banken inte säkerställt att testningen täckte in alla användarflöden. Myndigheten ansåg att en mer omfattande programvarutestning hade kunnat upptäcka felet i tid.
• Långsam incidenthantering: När de första kundrapporterna kom in borde banken snabbare ha förstått situationens allvar och agerat.

Beslutet grundades på flera bestämmelser i GDPR:

• Artikel 5 (f): Kravet på integritet och konfidentialitet vid personuppgiftsbehandling.
• Artikel 25: Principen om inbyggt dataskydd (privacy by design).
• Artikel 32: Kravet på lämpliga tekniska och organisatoriska säkerhetsåtgärder.

GDPR:s tillämplighet trots specialreglering

S-Pankki argumenterade för att stark autentisering redan regleras i särskild lagstiftning och dataskyddsmyndigheten därför inte skulle tillämpas. Myndigheten avvisade dock detta. Slutsatsen var att GDPR gäller parallellt och att tillsynsmyndigheten har rätt att ingripa när behandlingen av personuppgifter inte uppfyller förordningens krav.

Vad borde S-Pankki ha gjort annorlunda?

Beslutet ger en tydlig bild av vad som förväntas av en organisation:

• Genomföra omfattande testning: Programvaran borde ha testats mot fler användarfall för att upptäcka potentiella sårbarheter innan lansering.
• Kartlägga alla användarflöden: Redan i designfasen borde banken ha identifierat olika vägar som användare kan ta genom systemet och stängt av de flöden som inte var tillåtna.
• Reagera snabbare på signaler: Kundrapporterna borde ha tagits på större allvar och hanterats med expertkunskap redan från början.

Lärdomar för andra företag

Detta fall är en påminnelse om att GDPR inte bara handlar om dokumentation och rättslig grund. Dataskyddet omfattar också det tekniska genomförandet. För svenska företag finns flera lärdomar att ta med sig:

• Kombinera teknik och organisation: Det räcker inte att ha policydokument – systemen måste fungera säkert i praktiken.
• Incidenthantering kräver beredskap: Kunders signaler kan vara de första tecknen på ett allvarligt intrång. Processer måste finnas för att snabbt utreda och agera.
• Privacy by design i praktiken: Redan i utvecklingsfasen måste organisationer tänka på hur olika användarscenarier kan påverka säkerheten.

Hur vi kan hjälpa till

Vi på Morling Consulting bistår företag med att bygga upp robusta processer för testning, incidenthantering och konsekvensbedömningar. Med en konsekvensbedömning avseende dataskydd kan risker identifieras i tid och åtgärder sättas in innan bristerna leder till en sanktionsavgift.