Aktia Bank Abp har tilldelats en anmärkning och en administrativ påföljdsavgift på 865 000 euro med stöd av GDPR, enligt ett pressmeddelande från Aktia. Beslutet fattades av påföljdskollegiet vid dataombudsmannens byrå efter förslag från biträdande dataombudsmannen. Beslutet har ännu inte vunnit laga kraft.
Bakgrunden är ett fel i Aktias identifieringstjänst i januari 2023. Felet möjliggjorde att Aktias kunder under en kort tid kunde se andra kunders uppgifter i externa tjänster som använder stark autentisering. Enligt Aktia berördes cirka 350 kunder och händelsen varade mindre än en timme. Felet påverkade inte Aktias egna nättjänster, uppger banken.
Fel i identifieringstjänst exponerade uppgifter
Aktia skriver att den programvaruprodukt som orsakade felet snabbt togs ur bruk när det upptäcktes och att åtgärder omedelbart vidtogs för att minimera skadorna. Enligt pressmeddelandet framhåller dataskyddsmyndighetens beslut att händelsens korta varaktighet visar att banken hade beredskap att agera snabbt vid störningar och också gjorde det.
Aktia uppger vidare att beslutet inte medför några konsekvenser för bankens kunder. Banken betonar att den under lång tid satsat på säkerheten i sina tjänster, följer myndighetsföreskrifter och utvecklar rutiner som enligt Aktia är striktare än kraven. Efter incidenten genomfördes en analys av orsakerna och ytterligare åtgärder för att förhindra liknande fel framöver, bland annat systematiska förbättringar av kvalitetssäkringsprocesser och utbildning av medarbetare inom dataskydd och informationssäkerhet.
Aktia överklagar beslutet
Aktia uppger att dataskyddsmyndighetens beslut innehåller felaktiga tolkningar av bankens informationssäkerhetstestning före incidenten. Banken anser att tolkningarna av tillämplig reglering och den påförda avgiften är stränga i förhållande till händelsens omfattning, som enligt Aktia rörde ett enskilt fall där banken visade god reaktionsförmåga. Aktia meddelar att beslutet kommer att överklagas till förvaltningsdomstolen.
Påföljden har sin grund i den allmänna dataskyddsförordningen (GDPR) och gäller brister kopplade till personuppgiftsincidenten i januari 2023. Ärendet är fortsatt föremål för rättslig prövning i och med det aviserade överklagandet.
