Älskar du frågesport?
Då har du tur. Idag publicerar vi vårt påskquiz - och varje fredag kommer ett nytt. Lycka till!
Då har du tur. Idag publicerar vi vårt påskquiz - och varje fredag kommer ett nytt. Lycka till!
I maj 2022 rullade Unionens a-kassa ut det nya it-systemet Våra Sidor, som Kollega tidigare rapporterat om. Det resulterade snabbt i långa handläggningstider, men problemet har visat sig större än så.
Nu kan Kollega avslöja att en bugg i IT-systemet har gjort att det går att i inloggat läge gå in ”bakvägen” i ärendehanteringssystemet och se information om andra medlemmar, exempelvis adresser, personnummer, telefonnummer, tidigare anställningar och kommande utbetalningar. Personuppgifter som alltså har legat öppet för den som vetat hur och var den ska leta.
Enligt uppgifter till Kollega har det inte gått att ändra i andra medlemmars information på sidan, utan enbart att titta på dem. Unionens a-kassa har drygt 750 000 medlemmar, i Sverige är sammanlagt nästan fyra miljoner med i en a-kassa. Potentiellt kan alla vara drabbade.
Sveriges a-kassor fick information om buggarna den 21 oktober. Tomas Eriksson, kanslichef på Sveriges a-kassor bekräftar att det finns ett it-ärende som handlar om risken för att obehöriga kunnat se information de inte har rätt till.
– Vi har ett ärende som gäller en risk att i inloggat läge och med mycket ingående tekniska och verksamhetsmässiga kunskaper kunna bereda sig åtkomst till en begränsad del av information i systemen. Vi har bedömt risken som mycket låg men tagit det på stort allvar, säger han.
Problemet gäller funktionen Våra sidor, innebär det att det gäller alla a-kassor som jobbar i det systemet. Det vill säga samtliga?
– Potentiellt gäller det alla a-kassor. Jag vill dock understryka att den begränsade möjligheten till otillbörlig åtkomst förutsätter ett medvetet handlande. Det är inte något som man bara kan råka göra.
Vilka åtgärder har ni vidtagit?
– Vi har vidtagit åtgärder successivt för att säkerställa att risken för åtkomst upphör.
Kan ni utesluta att någon varit inne på fel ställen i systemet?
– Vi kan inte utesluta det men det har inte kommit till vår kännedom att det skulle ha inträffat.
Har ni anmält händelsen till Integritetsmyndigheten?
– Nej. I det här fallet är Sveriges a-kassor personuppgiftsbiträde. Det är den personuppgiftsansvariga som ska bedöma om en anmälan ska göras. Alltså varje a-kassa för sig.
Har det varit aktuellt att stänga ”Mina/Våra sidor?
– Baserat på vår riskbedömning har det inte varit aktuellt.
Finns säkerhetsluckan kvar?
– Vi har successivt vidtagit de åtgärder som har varit nödvändiga och relevanta.
Kan medlemmar i Sveriges a-kassor känna sig säkra på att deras personuppgifter är säkra?
– Alla a-kassor och dess medlemmar kan vara säkra på att vi gör vårt yttersta för att deras uppgifter hanteras på ett säkert sätt.
Systemet våra sidor har varit drabbat av fel och brister sedan start 2022. Är det dags att skrota det?
– Våra sidor har ständigt förbättrats sedan lanseringen under 2022. Det arbetet fortsätter även framöver.
En bugg i IT-systemet har gjort att det går att i inloggat läge gå in ”bakvägen” i ärendehanteringssystemet på Sveriges a-kassor. Information om andra medlemmar, exempelvis adresser, personnummer, telefonnummer, tidigare anställningar och kommande utbetalningar var möjlig för andra att se, vilket Kollega kunde avslöja i december i fjol.
Personuppgifter som alltså har legat öppet för den som vetat hur och var den ska leta.
Efter att buggen blivit känd har flera a-kassor anmält händelsen till Integritetmyndigheten, IMY. Bland annat Pappers dataskyddsombud.
– Det är många delar som är problematiska i det här. Dels vet man inte hur länge buggen funnits i systemet. Dels vet man inte hur många som drabbats, för det finns inga loggar. Det är oseriöst av Sveriges a-kassor att ta det här med lättja, säger Jerker Eliasson, försäkringsansvarig och dataskyddsombud på Pappers a-kassa.
De här uppgifterna potentiellt legat öppna för väldigt många människor under lång tid
Han jämför buggen med läckan i Skolplattformen – Stockholms stads it-tjänst för skolan. Där hittade en förälder med it-utvecklingskunskaper personuppgifter om både lärare och elever i inloggat läge.
– Det här är lika allvarligt. Sveriges a-kassor har pratat om det som att det skulle kräva stora kunskaper inom programmering, vilket jag inte anser påvisat, och faktum är att de här uppgifterna potentiellt legat öppna för väldigt många människor under lång tid vilket också ökat risken, säger Jerker Eliasson.
Han poängterar också att anmälningsplikten gäller till dess att man med säkerhet kan säga att det är osannolikt att incidenten innebär en risk för personers rättigheter.
– Jag bedömer att det inte framkommit någon sådan information.
Även IF-Metalls a-kassa valde att anmäla säkerhetsluckan.
– Det dröjde innan vi fick en klarare bild över vad som hänt. Initialt var informationen att det rörde sig om en bugg i Våra sidor, men sedan återkom Sveriges a-kassor och sa att det även gällde Mina sidor, alltså där a-kassornas medlemmar kan logga in. Vi gjorde en prövning och ansåg att händelsen nådde upp till kriterierna för en sådan personuppgiftsincident som ska anmälas till IMY, säger Dan Jonasson, chefsjurist och dataskyddsombud på IF-Metalls a-kassa.
Unionens a-kassa fick information om problemet den 18 oktober. Men tre månader senare har man fortfarande inte anmält händelsen till IMY. Anledningen är att man inte sett buggen som en säkerhetslucka. Att andra a-kassor har gjort en annan bedömning vill man inte kommentera.
”Vi bedömer att utifrån det vi kan och vet om det så rör det sig inte om en personuppgiftsincident. ” skriver Unionens a-kassas dataskyddsombud Jenny Tidgren i en skriftlig kommentar.
Hur allvarligt ser ni på händelsen?
”Alla IT-incidenter hanteras enligt framtagen rutin.”
Bör man som medlem vara orolig att det har läckt ut uppgifter?
”Nej, det behöver man inte vara.”
Av samtliga 24 a-kassor var det endast fyra som anmälde händelsen till IMY: Pappers, IF-Metall, Hotell och Restaurang och Transport. IMY har än så länge inte vidtagit några åtgärder.
Enligt Viktor Johnsson, som är jurist på IMY, innebär en nedlagd anmälan endast att myndigheten inte kommer att göra något just nu.
– Det innebär inte att en personuppgiftsincident inte har inträffat utan att vi inte kommer att granska där och då. Men det kan fortfarande komma att bli aktuellt med en tillsyn vid ett senare tillfälle.
Skulle IMY välja att granska en incident finns det en handfull åtgärder myndigheten kan tillgripa, exempelvis sanktionsavgifter, varningar, begränsningar och förbud av olika slag.
Enligt Tomas Eriksson, kanslichef på Sveriges a-kassor är sårbarheten i it-systemet nu åtgärdad.
– Exakt vad som gjorts och när kan vi av säkerhetsskäl inte gå närmare in på. Systemen underhålls och utvecklas hela tiden, inte minst inom säkerhetsområdet, säger han.
Integritetsskyddsmyndigheten (IMY) arbetar för att skydda personuppgifter, till exempel om hälsa och ekonomi, så att de hanteras korrekt och inte hamnar i orätta händer.
IMY:s huvuduppgifter är att