Finansinspektionen skriver av ärendet mot Klarna trots upptäckta brister när det gäller efterlevandet av tystnadsplikten i samband med it-haveriet i fjol.
En undersökning av Klarna banks informations- och cybersäkerhet har pågått sedan den 30 mars 2021. Syftet med undersökningen var att bedöma om banken upprättat och implementerat ändamålsenliga processer och verktyg för att skydda dess tillgångar.
Den 27 maj 2021 hände dock något som fick granskningen att senare utvidgas. Plötsligt kunde vissa av Klarnas användare se personlig information om andra bankkunder. Enligt Klarnas utredning berörde incidenten 83.000 kunder, där 15.000 fall var fall där det gick att identifiera personen. Haveriet uppges ha berott på den mänskliga faktorn i samband med en teknisk uppdatering.
Den 5 juli 2021 underrättades Klarna om att undersökningen utvidgats till att även omfatta utredning av om Klarna brutit mot tystnadsplikten, i samband med incidenten som inträffade den 27 maj 2021. FI:s undersökning har i denna del skett genom granskning av dokument och rapporter som Klarna tagit fram som även har följts upp vid möten med banken.
Undersökningsperioden omfattade den 1 januari 2020 till 30 juni 2021. FI genomförde platsbesök under perioden 3 maj till 28 maj. Under platsbesöken genomfördes löpande fysiska och digitala möten med nyckelpersoner som presenterade och demonstrerade processer och system. Ett kompletterande möte hölls med Klarna den 6 september för att verifiera ömsesidig förståelse av fakta kring incidenten den 27 maj.
Därefter redovisade FI sina iakttagelser och preliminära bedömningar för banken i en avstämningsskrivelse, daterad den 15 november. Banken har getts möjlighet att yttra sig över avstämningsskrivelsen och inkom med sitt svar den 12 januari 2022.
Enligt FI har undersökningen utmynnat i vissa iakttagelser som tillsynsmyndigheten bedömt som brister i Klarnas hantering av riskerna inom området och då särskilt avseende förändringsprocessen. Undersökningen har även utmynnat i iakttagelser som FI bedömt som brister när det gäller efterlevandet av tystnadsplikten i samband med incidenten den 27 maj.
”Med hänsyn till bristernas art och omfattning, att Klarna har vidtagit rättelse samt avser genomföra ytterligare förbättringsarbete och att de brister som återstår är ringa finns det inte anledning för Finansinspektionen att vidta några ytterligare åtgärder med anledning av undersökningen. Ärendet ska därför skrivas av”, meddelar nu FI.
