Under måndagen avslöjade Arbetet en allvarlig säkerhetslucka som gjort det möjligt att kartlägga fackligt medlemskap hos de tre fackförbunden IF Metall, Akavia och Pappers. 

Totalt handlar det om över 400 000 drabbade medlemmar.

Strax efter att Arbetet hört av sig till förbunden och berättat om luckan stängde IF Metall och Akavia ner sina inloggningssystem. Pappers åtgärdade felet direkt utan att stänga ner sidorna. Nu har också IF Metall och Akavia återigen öppnat sina sidor efter att ha fixat till problemet. 

De tre förbunden har nu även anmält händelsen som en så kallad personuppgiftsincident till Integritetsskyddsmyndigheten, IMY. 

Både IF Metall och Akavia bedömer det inträffade som ”mycket allvarligt”, enligt anmälningarna. Det är den allvarligaste nivån på en fyrgradig skala och handlar om hur händelsen bedöms med hänsyn till de registrerades integritet.

Olika bedömning

Pappers bedömer i stället händelsen som begränsad, nivå två på skalan, och i deras fall såg också bristen något annorlunda ut än för de övriga två förbunden. Det krävdes helt enkelt lite mer it-koll för att ta reda på om någon är medlem eller inte. Enligt Pappers anmälan kommer de inte ens informera medlemmarna om det inträffade. 

Det har de två övriga förbunden dock gjort. Efter Arbetets avslöjande har IF Metall gått ut med allmän information på sin sajt och även låst information till medlemmarna. 

Även Akavia informerar om luckan på sin hemsida. 

”Den som haft tillgång till en persons fullständiga personnummer och medvetet velat pröva om en person är medlem, har kunnat göra det. Om det faktiskt har gjorts är omöjligt att svara på. Likväl är alla slags sårbarheter mycket viktiga att identifiera och minimera”, skriver förbundet.

Akavia skriver att de utreder vad som hänt så att liknande kryphål inte ska uppstå i framtiden.

Journalisten har anmält

Under onsdagen kunde Arbetet även berätta att samma säkerhetslucka funnits hos Journalistförbundets medlemstidning Journalisten. Tidningen har nu åtgärdat bristen på sin sajt och även gjort en anmälan till IMY.

Journalisten landar i en annan bedömning av allvarlighetsgraden än IF Metall och Akavia. Enligt Journalisten är allvarlighetsgraden ”begränsad”. 

Integritetsskyddsmyndigheten, IMY, går igenom alla anmälningar de får in. De kan även göra tillsyn och efter det döma ut sanktionsavgift. 

”Vi har tagit emot incidentanmälningar som rör det du nämner men vi har än så länge inte gjort någon bedömning av dessa”, skriver IMY i ett mejl till Arbetet om fackförbunden IF Metalls, Akavias och Pappers anmälningar.

Så hanteras anmälningarna

  • Integritetsskyddsmyndigheten, IMY, tar emot 100 till 150 anmälningar om personuppgiftsincidenter i veckan. Förra året tog myndigheten emot över 5 300 stycken anmälningar. De hanteras i den ordning de kommer in.
  • Vid en anmälan om personuppgiftsincident gör IMY en första bedömning av hur incidenten har hanterats och hur allvarlig den är men även vilka åtgärder som organisationen vidtagit efter att incidenten upptäckts.
  • Hur allvarlig en personuppgiftsincident är bedöms bland annat utifrån vilka typer av personuppgifter som det handlar om och vilka personer som har drabbats.
  • Om IMY bedömer att hanteringen är god och riskerna för individen låga avslutas ärendet. I annat fall kan IMY göra en fördjupad bedömning och i vissa fall väljer vi att göra en noggrann granskning i form av tillsyn.

Källa: IMY