Ruotsalainen vakuutusyhtiö Folksam kertoi marraskuun alussa tietovuodosta. Yhtiö oli luovuttanut noin miljoonan asiakkaansa arkaluonteisia henkilötietoja muun muassa Facebookille ja Googlelle.

Tiedot saattoivat paljastaa muun muassa sen, että henkilö oli raskaana tai kuului ammattiliittoon.

Tapausta Folksamilla selvittävä Maria Thulin kertoo ruotsalaiselle Computer Sweden -julkaisulle, että tietovuoto aiheutui skriptistä, jota yhtiö käytti verkkosivuillaan vierailevien käyttäjien seuraamiseen.

”Kaikki ajavat tällaisia skriptejä ja niihin voi laittaa monia asioita", Thulin sanoo Computer Swedenille.

Usein skriptit yhdistävät tietoja, jotka liittyvät käyttäjän ostopoluilla vierailemiin sivuihin. Näiden pohjalta käyttäjille voidaan räätälöidä tarjouksia, joihin he törmäävät esimerkiksi Googlen tai Facebookin palveluissa mainoksina. Folksamin tapauksessa skripteissä ladattiin myös henkilönumeroita salakirjoitetussa muodossa.

Tiedot muuttuvat arkaluonteisiksi, kun henkilönumerot yhdistetään tiettyjen raskausvakuutusten tai ammatillisten vakuutusten ostopolkujen kanssa. Vaikka henkilönumero on salatussa muodossa, joku taho voi pystyä purkamaan salauksen ja ymmärtämään asiayhteyden.

Folksam huomasi asian, koska yhtiö on ottamassa käyttöön uutta riskinhallintajärjestelmää ja samaan aikaan teki penetraatiotestausta omille järjestelmilleen. Vakuutusyhtiö ei halua leimata tiettyjä valmistajia, koska puutteita oli sekä heidän omissa että ulkopuolisten tahojen ratkaisuissa.

”Ongelmana on juuri yhdistelmä, jossa meillä oli sekä verkko-osoitteita että henkilönumeroita skriptissä. Ei se, että olisimme käyttäneet jotakin tiettyä verkkotyökaluja. Adobe, Google, Facebook tai joku muu, jota olemme käyttäneet markkinointiin, ei liity tapaukseen”, Thulin sanoo Computer Swedenille.

Erikoista tapauksessa on, että Folksamin mukaan henkilönumeroa ei olisi tarvittu alun perinkään skriptissä – kyse oli ylimääräisestä tiedosta.

Folksam uskoo, ettei yhtiö ole yksin tämän ongelman kanssa. Thulinin mukaan toimialalla on yleistä, että skripti lähettää henkilötietoja ja muuta tietoa tietystä ostopolusta ilman, että sitä on suojattu asianmukaisesti.

Asiaa ei myöskään helpota se, että EU-tuomioistuin mitätöi kesällä Privacy Shield -järjestelyn, jonka puitteessa yritykset ovat voineet siirtää käyttäjien tietoja Yhdysvaltoihin. Folksamin tapauksessa tietoja on siirretty juuri Euroopan unionin ulkopuoliseen maahan.

Thulin pohtii Computer Swedenille myös, voidaanko esimerkiksi ip-osoitetta pitää henkilötietona. Useimmilla käyttäjillä on dynaaminen ip-osoite, joka voi vaihtua. Hänen mukaansa ei ole yksiselitteistä vastausta siihen, voidaanko esimerkiksi ip-osoitetta käyttää skriptissä, jota hyödynnetään Googlen tai Facebookin palveluiden kanssa. Folksam on nykyisin erittäin varuillaan sen suhteen, mitä tietoja se siirtää EU:n ulkopuolelle.

Folksam neuvoo Computer Swedenissä muita yrityksiä huolehtimaan etenkin evästeiden käsittelystä ja varmistamaan niitä koskevat suostumukset käyttäjiltä. Lisäksi yhtiö suosittelee käymään läpi sopimukset ja tarkistamaan, ketkä ovat muita osapuolia ratkaisuissa ja mitä käyttäjiä koskevia henkilötietoja nämä käsittelevät. Yritysten tulee myös olla tarkkana, jotta ne eivät lähetä skripteillä kumppaneilleen enempää tietoja kuin alun perinkään haluavat.