Säkerhetslucka upptäckt hos ett flertal fackförbund

Tidsskriften Arbetet har genom en granskning av ett antal svenska fackförbund upptäckt att IF Metall, Akavia och Pappers webbsidor under flera år har varit behäftade med ett säkerhetshål som möjliggjort för utomstående att med hjälp av personnummer kartlägga människors facktillhörighet.

Säkerhetshålet har upptäckts i samband med inloggningen till fackförbundens medlemssidor. Det första steget i inloggningsprocessen har bestått av att mata in ett personnummer. Om personnumret har resulterat i en träff i medlemsregistret har användaren sedan slussats vidare till nästa steg där den ombetts legitimera sig med hjälp av tjänsten Bank-id. Det är i denna process det har gått fel – avstämningen mot medlemsregistret ska egentligen ske först efter legitimering. Säkerhetshålet har därför medfört att ett personnummer för en icke-medlem har returnerat ett felmeddelande. Det har således räckt med tillgång till ett personnummer, vilket lätt går att få tag på genom olika webbtjänster, för att avgöra om en person är medlem eller ej i vart och ett av de tre fackförbunden.

Det upptäckta säkerhetshålet är synnerligen allvarligt eftersom facktillhörighet utgör en särskild kategori av personuppgifter enligt artikel 9.1 i dataskyddsförordningen (”GDPR”). Andra kategorier av känsliga personuppgifter som faller in under samma bestämmelse och därmed omfattas av ett starkare skydd är bland annat uppgifter om ras eller etniskt ursprung, politiska åsikter och sexuell läggning.

Antalet potentiellt påverkade människor är stort – de tre fackförbunden har tillsammans över 400 000 medlemmar. Som nämnts ovan har det dessutom varit möjligt att avgöra om en person inte är medlem, vilket avsevärt ökar incidentens omfattning. Värt att notera är att Arbetet uppmärksammade de berörda fackförbunden om säkerhetshålet innan artikelns publicering, vilket ledde till att fackförbunden stängde ner sina medlemssidor för att åtgärda bristerna innan de blev allmänt kända.

IF Metall har i en kommentar till Arbetet meddelat att de kommer att anmäla incidenten till Integritetsskyddsmyndigheten (”IMY”). Vidare meddelar de att man kan kontakta fackförbundets dataskyddsombud om man är orolig för hur ens personuppgifter behandlas.

IMY har sannolikt redan påbörjat sina förberedelser för att inleda en granskning av incidenten och de berörda fackförbundens personuppgiftsbehandling, vilket i slutändan kan komma att resultera i såväl reprimander som sanktionsavgifter. Håll utkik här på bloggen om du är intresserad av uppdateringar eller potentiella framtida tillsynsbeslut!

Denna artikel är skriven av Associate Petri Dahlström.