Brott mot banksekretess enligt SwedSec
Inom informationssäkerhet på banker hänvisas det ofta till banksekretess. Det stannar dock ofta vid ytliga hänvisningar så jag skulle här vilja utforska det ytterligare. I stället för att börja i den teoretiska änden med regeln om tystnadsplikt i lagen vill jag börja i verkligheten. Närmare bestämt i SwedSecs disciplinnämnd.
SwedSec är en del av branschens självreglering. Företag som står under Finansinspektionens tillsyn och deltar i värdepappersmarknaden kan ansluta sig. Genom SwedSec kan sedan deras anställda skaffa licens som till exempel rådgivare. En viktig del av organisationens arbete är att behandla ärenden om licenshavare som har anmälts för regelöverträdelser.
Disciplinnämnden hos SwedSec är bemannad med mycket tunga namn, normalt sitter flera justitieråd med. Besluten som nämnden utfärdar är alltid välskrivna och innehåller inte sällan intressanta resonemang.
Nedan följer sammanfattningar av tio beslut som rör just brott mot tystnadsplikten i lagen om bank- och finansieringsrörelse. Det är eventuellt inte en uttömmande lista utan de jag vid en enkel genomsökning kunde identifiera. Betrakta det som ett axplock. En kort notering om påföljder bara, det finns tre, med stigande allvarsgrad: erinran, varning samt återkallande av licens.
10 beslut från SwedSecs disciplinnämnd om överträdelse av banksekretessen
En placeringsrådgivare äter middag med en släkting till en av sina kunder och berättar där övergripande om vad för arbete han gör för kundens räkning, utan att gå in på detaljer. Disciplinnämnden anser att sekretessen är åsidosatt men att överträdelsen är både ringa och delvis ursäktlig. Rådgivaren meddelas en erinran. [2007:04]
En rådgivare tar emot ett epost från en kund som efterfrågar saldo på ett konto. Efter att ha meddelat saldo i vändande post fås en begäran om utlandsbetalning om nästan två hundra tusen vilket rådgivaren genomför. Senare hör kunden av sig och undrar över varför en utlandsbetalning har gjorts. Disciplinnämnden konstaterar bland annat att banksekretessen har åsidosatts och ger en varning. [2014:16]
En rådgivare som tidigare, i en kundrelation, har hjälpt sin svägerska med ekonomiska problem ser i bankens system att hennes "äventyrliga ekonomiska beteende" har återupptagits och berättar detta för sin fru som tar kontakt med sin syster. Trots vissa förmildrande omständigheter ges rådgivaren en varning. [2015:21]
En företagsrådgivare gör på sin mans förfrågan slagningar på två bolag som han är delägare och anställd i. Eftersom mannen inte är behörig till informationen har hon brutit mot banksekretessen och meddelas en varning. [2015:22]
En rådgivare har i kommunikation med en värderingsman angående en fastighetsvärdering avslöjat kundens namn och att kunden har svårt att få kredit. Han har dessutom gjort slagningar på egna och närståendes konton utan att arbetsuppgiften krävde det. Båda handlingar strider mot banksekretessen. Ärendet omfattar andra överträdelser också men nämnden stannar ändå vid en varning. [2017:07]
En företagsrådgivare har skickat ett tiotal epostmeddelanden till sin fru innehållande uppgifter om hennes kund, bland annat bankens hela offert med uppgifter om kreditbelopp och amorteringskrav. Disciplinnämnden skriver:
Även om hustrun inte läst e-postmeddelandena eller bifogade filer är hans agerande ändå att anse som ett obehörigt röjande av kunduppgifter. [...] Överträdelse av tystnadsplikten som innefattar röjande av en kunds ekonomiska förhållanden samt att uppgifterna skickats till hustruns e-postadress hos hennes arbetsgivare måste bedömas som särskilt allvarlig. Det sistnämnda har utsatt företaget för en risk att uppgifterna skulle kunna spridas till en vidare krets.
Företagsrådgivaren tilldelas en varning, tydligen anses ett par "särskilda omständigheter" som förmildrande av nämnden. [2017:21]
En företagsrådgivare hos en ny arbetsgivare kontaktar en gammal kund från tidigare arbetsgivare och nämner det gamla kundförhållandet som introduktion. Forne arbetsgivaren anser det vara brott mot deras sekretessförbindelse. Disciplinnämnden håller inte med:
Genom brevet har licenshavaren till kunden återgett uppgifter som omfattas av sekretessen. Det har emellertid varit fråga om uppgifter som rör kundens relation till företaget och som kunden redan känt till. [...] Även om det generellt sett alltid finns en risk för att uppgifter som nedtecknats kommer på avvägar och sprids, kan det i detta fall – mot licenshavarens bestridande – inte anses visat att det förelegat sådan risk för spridning att hans agerande i denna del ska föranleda disciplinpåföljd.
Disciplinnämnden anser att påföljden stannar vid en erinran. [2017:27]
En företagsrådgivares hyresvärd är kund hos hennes arbetsgivare och hon avslöjar detta via sin privata epost för en annan hyresgäst vilket sedan kommer till värdens kännedom. Medan endast själva kundförhållandet avslöjades tilldelas ändå en varning. [2018:44]
Paret A och B var inne och sökte bolån, kundrådgivaren avslöjar detta för A:s förälder som hade ett ärende i banken kort efteråt. Paret blir kontaktade av föräldern med frågor om husköpet, trots att de avsåg hålla det hemligt. Kundrådgivaren får en varning. [2019:23]
En bolånehandläggare har använt sin privata epost och telefon för kundkommunikation vid tre tillfällen. Disciplinnämnden anser dock inte att banksekretessen är bruten då det inte har framkommit att uppgifterna har röjts till någon obehörig. (Jämför med beslut 2017:27 ovan.) Ingen påföljd. [2019:24]
Det var inte it-systemens fel
Den första intrycket är att få av disciplinärendena ovan är direkt relevanta för it-system. I ett fall verkar det röra sig om spear phishing [2014:16] och i ett annat om behörighetsmissbruk i system [2017:07]. Dessutom omfattar ett par användning av privat epost [2018:44] [2019:24] för kommunikation av uppgifter om kunder.
Bortsett från möjligen phishingmailet handlar det uteslutande om fall av avsiktliga eller aningslösa överträdelser där it-system ibland bara råkade vara inblandade. Inget disciplinärende var i första hand ett resultat av brister i ett it-system eller någon it-process.
Medan det kan låta som en uppenbar slutsats så tror jag att den är viktig. Inom it och kanske särskilt inom it-säkerhet har vi lätt att överskatta systemens betydelse och förmåga när det kommer till skydd av information.
Det här var förstås bara ärenden som har hamnat hos SwedSec, d v s överträdelser som har gjorts av någon som har licens. De flesta anställda på en vanlig bank saknar licenser så deras överträdelser är höljda i dunkel. Dessutom, dataintrång genomfört av extern part hamnar naturligtvis inte heller hos SwedSec så det finns verkligen mer att utforska om banksekretess. ☐