Lærdommer fra Sverige om Meta Pixel og informasjonssikkerhet

En svensk bank fikk millionbot etter å ha delt sensitive personopplysninger med Meta ved en feil. Hvordan kunne dette skje, og hva burde banken gjort annerledes? Denne bloggen utforsker hva som gikk galt, hvilke konsekvenser det fikk, og viktige lærdommer for datasikkerhet og personvern.

En svensk bank implementerte analyseverktøyet Meta Pixel (tidligere kjent som Facebook pixel) for å optimalisere sin markedsføring. Meta Pixel samlet inn data om brukeres aktivitet på bankens nettsted og app, og koblet disse til brukernes Facebook-profiler for å muliggjøre målrettet annonsering. Funksjonen "Automatic Advanced Matching" (AAM) fra Meta Pixel ble aktivert ved en feiltakelse, noe som førte til at personopplysninger som personnummer, lånebeløp og kontonummer ble overført til Meta.

Hva gikk galt?

Banken klarte ikke å implementere tilstrekkelige tekniske og organisatoriske tiltak for å beskytte personopplysningene i samsvar med artikkel 5 bokstav f og artikkel 32 i personvernforordningen. Den utilsiktede aktiveringen av AAM førte til at personopplysninger om omtrent 500 000 til 1 million brukere ble overført til Meta uten tilstrekkelig beskyttelse. Informasjonen ble overført både i klartekst og i hashet form. IMY (Datatilsynet i Sverige) vurderte at dette utgjorde en høy risiko for de registrertes rettigheter og friheter, og at banken sviktet i sitt ansvar for å oppdage og rette opp sikkerhetsbristen.

Hva kunne de ha gjort annerledes?

Banken kunne ha unngått dette ved å:

1. Følge sine rutiner nøye: Selv om banken hadde formelle rutiner for behandling av personopplysninger, ble disse ikke fulgt korrekt ved implementeringen og oppdateringen av Meta Pixel. En strengere etterlevelse av interne sikkerhetsrutiner kunne ha forhindret aktiveringen av de omtalte funksjonene.
   
   
2. Gjennomføre regelmessige sikkerhetskontroller: Implementere systematiske og regelmessige sikkerhetskontroller for raskt å oppdage og rette opp utilsiktede endringer i sine systemer. Dette ville ha gjort det mulig for banken å oppdage og stoppe den uautoriserte overføringen av personopplysninger tidligere.
   
   
3. Opplæring og bevisstgjøring: Øke bevisstheten og opplæringen i organisasjonen om viktigheten av datasikkerhet og konsekvensene av å ikke følge prosedyrer.
   
   
4. Styrke tekniske sikkerhetstiltak: Implementere sterkere tekniske sikkerhetstiltak som pseudonymisering og kryptering av personopplysninger, samt nøye overvåke tredjeparts-skript.
   
   

Hva kan vi lære?

Beslutningen understreker viktigheten av å ha robuste sikkerhetstiltak og å følge dem for å beskytte personopplysninger. Virksomheter bør regelmessig gjennomgå og oppdatere sine sikkerhetsrutiner, utføre kontinuerlige sikkerhetskontroller og sikre at hele organisasjonen er bevisst på viktigheten av informasjonssikkerhet. Denne avgjørelsen minner oss også på at tekniske og organisatoriske tiltak ikke bare skal eksistere på papiret, men aktivt implementeres og overvåkes for å beskytte de registrertes rettigheter og friheter.

IMY sin beslutning påla banken et sanksjonsgebyr på 15 millioner svenske kroner for overtredelsen, noe som understreker at kravene i personvernforordningen ikke kan ignoreres, og at brudd på disse kravene kan føre til betydelige økonomiske konsekvenser.

Har du spørsmål eller lyst til å ta en prat?

Kontakt oss på post@knowit.no.