Den 20 januari 2021 gjorde fondbolaget Indecap ett marknadsföringsutskick via e-post till alla sina ca 52.000 kunder, men det gick lite snett. Istället för att bifoga ett fint reklamblad om hur Indecaps fonder gått under 2020 så åkte excelfilen med alla 52.000 kunders namn, personnummer, e-postadress, bank, värdet på fondinnehav, vald risknivå, osv med i utskicket som en bilaga på grund av den mänskliga faktorn. Kort sagt – varje CRM-medarbetares värsta mardröm i förhållande till personuppgifter.
I dagarna kom IMY:s beslut om incidenten – sanktioner om 500.000 SEK vilket motsvarar 0,36% av nettoomsättningen (om jag förstått beslutet rätt) eller knappt 10 kr per röjd kund. Dyrt eller billigt?
Prislapp för att röja finansiell sekretess:
Knappt 10 kr per kund.
Dyrt eller billigt?
Ingen stor publicitet om fallet
Om du inte har hört talas om detta så är det inte förvånande. När incidenten inträffade blev det lite artiklar i lokalpressen i Sörmland där det först upptäcktes och någon blänkare i dags- och kvällspressen samma dag, men sen har det varit tyst i de två och ett halvt år (!) som det tagit IMY att slutföra tillsynen.
Även nu när IMY:s beslut har kommit har det bara blivit några små artiklar i dagspressens ekonomisidor och juridisk fackpress, men inte mer än så. Ingen våldsam publicitet alltså. Inte i stil med de otaliga spaltmeter som har skrivits om exempelvis Google Analytics och Schrems II där bevisligen ingen persons integritet på riktigt blivit kränkt. Och som idag inte längre är olaglig på grund av ”Data privacy framework”.
Att den finansiella sekretessen för drygt 50.000 människor röjs är uppenbarligen inte något som journalistkåren tycker är värt att fördjupa sig i. Det verkar inte heller som att dålig publicitet till följd av incidenten drabbat Indecap nämnvärt ekonomiskt då både omsättning och vinst ökade för räkenskapsåret 2021. Kunderna verkar alltså inte ha trampat ner varandra i dörren för att flytta sina pengar…
Viktigt beslut för marknadsförare
För oss som jobbar i gränslandet mellan marknadsföring och dataskydd har detta dock varit ett viktigt fall att bevaka då det – enligt mig – är så illa det kan bli i samband med marknadsföring. Illa på grund av att det berör många personer, det är känsliga uppgifter och uppgifterna omfattas av lagstadgad finansiell sekretess. Förmildrande omständighet är naturligtvis att det var ett misstag (jag lider verkligen med den stackaren som tryckte på ”sänd-knappen” för detta utskick), men det är tyvärr en klen tröst för dem som drabbades.
GDPR handlar ju i grunden om enskilda personers rätt till skydd av personuppgifter och inte juridiska teknikaliteter vilket jag upplever att till exempel hela Google analytics-debatten har handlat om. Vem blev egentligen kränkt i det fallet? Maximilian Schrems? Som själv först loggade in på Google för att till 100% säkerställa att Google visste vem han var innan han surfade vidare till bland annat Tele2:s hemsida och där samtyckte till alla kakor?
I Indecap-fallet är det ju däremot solklart att namngivna personers rätt till skydd av deras personuppgifter gravt fallerat och detta helt utan kundernas inblandning eller egen förskyllan. Att Indecap skulle åka på en saftig sanktionsavgift har nog stått klart från början, men frågan har naturligtvis varit hur hög den slutligen skulle bli?
Vad är finansiell sekretess?
Att uppgifterna som läckte ut omfattades av finansiell sekretess är naturligtvis en allvarligt försvårande omständighet i detta fall, men vad innebär då detta?
Finansinstitut omfattas av finansiell sekretess (eller tystnadsplikt) vilket innebär att de enligt lag inte får avslöja något om sina kunder (annat än i vissa specifika situationer som exempelvis till Kronofogden, Skatteverket, etc). Tystnadsplikten gäller annars även inom finansinstitutet. Som medarbetare får man alltså inte ens prata om en kund med en kollega om kollegan inte har något med kunden att göra.
Incidenter med så kallade ”obehöriga röjanden” av finansiell sekretess rör sig därför oftast om att en enskild medarbetare kikat lite på kunders uppgifter som de inte har någon anledning till. Som till exempel för att hjälpa syrran att kolla upp om nya pojkvännen är en hyvens kille eller ett potentiellt ekonomiskt slukhål. Eller hur mycket pengar den där kändisen faktiskt har på kontot…
Om medarbetaren blir påkommen och är licensierad rådgivare hamnar dessa ärenden hos SwedSec:s disciplinnämnd och den enskilde medarbetaren kan i värsta fall förlora sin rådgivarlicens. Finansinstitutet och/eller medarbetaren kan också bli skadeståndsskyldigt om kunden kan påvisa att den lidit ekonomisk skada till följd av det obehöriga röjandet. (Vilket dock verkar hända väldigt sällan).
I Indecap-fallet borde det alltså innebära att den finansiella sekretessen bröts redan innan det olycksaliga utskicket eftersom gissningsvis inte ens CRM-medarbetaren borde haft behörighet att se alla dessa kunders känsliga uppgifter, eftersom de inte behövdes för utskicket – det hade räckt med en lista med e-postadresser.
Utgångspunkten för hantering av incidenter av obehörigt röjande av finansiell sekretess är alltså att detta sker ”manuellt” genom att en medarbetare på ett finansinstitut gör något med kunders uppgifter som de inte får.
Det finns faktiskt inga tidigare fall i Sverige där ett finansinstitut röjt hela kundbasen på ett bräde. Det är därför mycket intressant att vi nu fått en prislapp på kostnaden av ett sådant ”storskaligt” obehörigt röjande. Priset är tydligen knappt 10 kronor per röjd person eller 0,36% av nettoomsättningen, inget skadestånd och inget indraget tillstånd. Jag tycker nog att det är ganska billigt om jag ska vara ärlig.
”Det finns faktiskt inga tidigare fall i Sverige där ett finansinstitut röjt hela kundbasen på ett bräde.”
Hur ska en marknadsförare inom den finansiella världen tänka nu?
Alla företag vill ju självklart följa lagar, men å andra sidan behöver även finansinstitut i denna digitala tidsålder få marknadsföra sina produkter och tjänster med hjälp av personuppgifter.
Marknadsförare inom finansbranschen är dock oftast livrädda för att bryta mot någon av alla de lagar som finansinstitutet träffas av – i synnerhet sekretesslagarna. Det gör att datadriven marknadsföring från till exempel banker ofta känns rätt generisk och irrelevant.
Detta på grund av att (överdrivet?) försiktiga jurister allt som oftast slänger fram sekretesskortet och målar upp alla typer av brott mot denna sekretess som ett stensäkert sätt att bli av med tillståndet och då är det ”game-over”. Ingen marknadsförare vill ju bidra till det egna företagets undergång och så är det slut på diskussionen.
Exempelvis hävdar många jurister inom finansbranschen att enbart det faktum att en kund till exempel får ett e-post från finansinstitutet riskerar att röja att personen har en relation till banken (om någon hackar överföringen eller mottagarens inkorg) vilket då skulle innebära ett röjande av sekretessen. Nu pratar jag alltså om ett vanligt marknadsföringsutskick utan några personliga uppgifter i innehållet eller rubriker som ”till dig som är kund i banken!”
Det känns som skicka ut en lista med över 50.000 ANDRA kunders mycket känsliga uppgifter (plus de egna) i en öppen bilaga är ett betydligt värre scenario. Men inte ens det verkar ju vara så himla dyrt i slutänden om vi ska vara ärliga. Så kanske att dataskyddskunniga och kundorienterande marknadsförare inte behöver vara så rädda längre för att de ska fälla hela banken bara för att de vill skicka en god jul-hälsning till kunderna?