Foto: Andreas Hillergren

Telenor har anmälts till Datainspektionen. Telekombolaget har på grund av ett misstag hämtat ut personuppgifter från Skatteverket om runt 120 000 kunder.

– Det här är allvarligt, säger Pär Rylander, myndighetens säkerhetschef.

Telenor har mellan den 15 maj och den 7 juni bett sina kunder att logga in på Skatteverkets webbplats med e-legitimation. Vad som inte framgick var att Telenor via underleverantören Identitrades tjänst Identiway då fick tillgång till information om personen, så som bostad och inkomst.

– Skatteverket varnar för att logga in mot Skatteverket via privata företags webbplatser. Det är okontrollerad andrahandsinloggning, vilket innebär att du som privatperson ger en privat aktör åtkomst till all information om dig, säger Pär Rylander.

Skatteverket har blockerat möjligheten att logga in via ett företag. Enligt myndigheten tyder inget på att information spridits vidare.

– Tänk till exempel om någon med skyddande personuppgifter loggar in på det här sättet. Då öppnar de sekretessen kring sig, vilket är olyckligt. Man ger då företaget möjlighet att ta del av information som du själv ser när du är inloggad, säger Pär Rylander.

Agerandet är inte tillåtet enligt BankID:s regler – och har även anmälts till Post- och telestyrelsen samt Myndigheten för samhällsskydd och beredskap.

– Vi tittar även på om det finns några andra rättsliga åtgärder att vidta efter det här.

Aron Samuelsson, kommunikationschef på Telenor, säger att tjänsten varit ett sätt för kunderna att identifiera sig som betalningsansvarig.

– Det som har hänt är att man har gett sitt medgivande till Telenor att hämta personnummer från Skatteverket. På grund av ett fel har vi hämtat fler uppgifter än vad vi fick, dock inte allt, inte inkomst. Att vi hämtat fler uppgifter utgör en integritetsincident som vi rapporterat till Datainspektionen. Och vi har omedelbart raderat uppgifterna.

– Tjänsten är nedstängd nu. Vi beklagar detta. Vi har gjort ett misstag som vi har korrigerat.