Vid lunchtid i dag, måndag, stängde fackförbundet IF Metall, med över 300 000 medlemmar, ner sina medlemssidor. Det gick inte längre att logga in på sajten. Några timmar senare gjorde fackförbundet Akavia, med 130 000 medlemmar, samma sak.

Orsaken var frågor som Arbetet ställt om säkerhetshål på hemsidorna. 

Arbetet kan nu avslöja att det under en längre tid varit möjligt att kartlägga fackligt medlemskap genom förbundens inloggningssystem.  

– Efter att ni uppmärksammade oss på det i dag har vi valt att stänga inloggninssidorna, säger Jesper Pettersson, pressansvarig på IF Metall på måndagseftermiddagen.  

Kan ta reda på vem som är fackmedlem

När du tidigare loggat in på IF Metalls medlemssida har allt flutit på – om du varit medlem. Då har du hänvisats vidare till legitimering via bank-id på mobilen. Om du inte varit medlem har du i stället direkt fått ett felmeddelande: ”Något gick fel, försök igen.” 

Genom att skriva in ett personnummer har du alltså kunnat ta reda på vem som är medlem eller inte – utan att först logga in.

Enligt Jesper Pettersson på IF Metall pågår nu arbetet bygga om systemen. Han menar att det nuvarande systemet använts brett, också av andra organisationer än IF Metall. Förbundet har använt nuvarande system i ”flera år”.

– Sedan den lösningen infördes har det kommit nya möjligheter till identifikation på digitala kanaler som vi har planer på att införa. Men just den här bristen har inte uppdagats tidigare.

Vad vill du säga till medlemmarna?

– Är man orolig för hur personuppgifter behandlas och hur man kommer att hantera dem i fortsättningen har vi ett dataskyddsombud som man kan kontakta. Vi kommer också själva att att anmäla det till Integritetskyddsmyndigheten.

Samma fel har funnits på Akavias medlemssidor. För den som inte är medlem har ett felmeddelande dykt upp: ”Det går inte att logga in med angivet personnummer/medlemsnummer.”

Akavia kommenterar säkerhetsluckan via mejl.

Vi ser allvarligt på den sårbarhet ni identifierat, det ska inte vara möjligt ens i teorin att få indikation på annan persons medlemskap i en facklig organisation. Vi utvecklar nu skyndsamt en ny inloggningsfunktion så att alla medlemmar kan använda Mina sidor inom kort igen. Till dess ser vi fram emot att hjälpa medlemmen via vår medlemsservice.

Felmeddelandet har dykt upp på Akavias webbsajt när man försökt logga in utan att vara medlem.

Det korrekta sättet att bygga ett inloggningssystem är att göra avstämningen mot medlemsregistret först efter att man legitimerat sig, exempelvis via sin bank-id-app på mobilen.  

Arbetet har undersökt samtliga fackförbund inom LO, TCO och SACO och funnit att IF Metall, Akavia och Pappers har liknande säkerhetsluckor. Totalt handlar det om över 400 000 drabbade medlemmar.

”Särskilt känsliga” uppgifter

Enligt dataskyddsförordningen GDPR räknas vissa personuppgifter som särskilt känsliga. Hit hör till exempel etniskt ursprung, politisk åskådning, religiös övertygelse och sexuell läggning. Och fackligt medlemskap. 

– Det är en särskilt hög nivå av känslighet. De här uppgifterna har ett starkare skydd eftersom det kan leda till särskilda risker om de sprids till obehöriga, säger Sofia Standar, jurist på Integritetsskyddsmyndigheten, IMY. 

Känsliga personuppgifter

Enligt dataskyddsförordningen, GDPR, klassas vissa personuppgifter som särskilt känsliga. De uppgifterna är förbjudna att behandla, med vissa undantag.

Till exempel när uppgifter om anställdas sjukdom behövs för att beräkna sjuklön eller vid rehabiliteringsutredning.

Uppgifter om fackligt medlemskap kan behöva delas för att arbetsgivaren ska kunna kalla till förhandlingar med facket enligt medbestämmandelagen, MBL. 

Känsliga personuppgifter är uppgifter om: 

Etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, fackmedlemskap, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som används för att identifiera en person, till exempel fingeravtryck.

Källa: IMY 

It-säkerhetsexperten Anne-Marie Eklund Löwinder poängterar att uppgifter om fackligt medlemskap kan komma i fel händer på flera sätt, bland annat om en arbetsgivare vill kontrollera det i en rekryteringsprocess. 

– Det här är inte bra. Det är olämpligt att man gör det så pass enkelt att kartlägga huruvida någon är medlem i en fackförening eller inte, säger hon. 

För den med programmeringskunskaper går det att automatisera kontrollerna och systematiskt testa stora gruppers medlemskap om man har tillgång till deras personnummer.

Och de uppgifterna är lätta att ta reda på genom gratis webbtjänster på internet. En arbetsgivare har också tillgång till anställdas personnummer via anställningsavtalen. 

Pappers har liknande säkerhetslucka

Även fackförbundet Pappers har alltså haft en liknande säkerhetslucka, visar Arbetets granskning. Här har det inte synts någon skillnad för den vanliga användaren om man skriver in en medlems, eller en icke medlems personuppgifter. Men för den som är lite mer it-kunnig har det gått att se skillnad. 

– Att man kan se vem som är medlem och inte är naturligtvis inte bra, säger P-A Pettersson, andre vice ordförande och it-ansvarig i Pappers när Arbetet når honom på måndagsförmiddagen. 

P-A Pettersson 2:e vice ordförande.
P-A Pettersson, andre vice ordförande i Pappers. Bild: Pressbild

Han lyfter att den här typen av personuppgift är extra känslig enligt GDPR och säger att de nu kommer kontakta sin webbyrå för att få det åtgärdat. Samtidigt nämner han att i alla fall arbetsgivarna i deras bransch redan har koll på vem som är medlem och inte, eftersom fackavgiften dras på lönen. 

Några timmar senare återkommer han och meddelar att felet är åtgärdat. 

Arbetet har informerat IF Metall, Akavia och Pappers om säkerhetsluckorna och avvaktat med publicering tills förbunden tagit bort möjligheten att utnyttja dem.

Så gjordes granskningen

Arbetet har testat att logga in på medlemssidorna hos samtliga fackförbund inom LO, TCO och Saco. Vi har använt våra egna personnummer och utfört tester med fackliga medlemmar. 

Vi har tagit hjälp av experter på bland annat it-säkerhet och integritet för att bedöma vissa uppgifter. Vi har larmat de berörda förbunden före publicering och gett dem tid för att hinna åtgärda problemen.