Minpension polisanmäler bolaget som har utvecklat den digitala tjänsten Seeqest då Minpension anser att appen missbrukar integritetskänsliga uppgifter som finns om pensionssparare hos Minpension.
Minpension, som drivs och finansieras till hälften av staten, till hälften av pensionsbolagen, polisanmäler bolaget som har utvecklat den digitala tjänsten Seeqest. Minpension anser att appen missbrukar integritetskänsliga uppgifter som finns om pensionssparare hos Minpension. Minpension misstänker även att tjänsten bryter mot flera lagar och anser att den skadar tilltron till e-legitimation.
Kopierar uppgifter
Minpension uppger att aktören Seeqests digitala tjänst främst bygger på att olovligen kopiera uppgifter från Minpension. Minpension skriver att polisanmälan är inlämnad för att få klarhet i rättsläget och få till stånd ett prejudikat för framtiden.
– Det pågår en oroande utveckling i det digitala samhället där allt fler aktörer har börjat missbruka e-legitimationer genom att förmå användare att bruka sina e-legitimationer på ett otillåtet sätt, säger Johan Hellman, vice vd på Minpension.
Sannolikt ett brott
Minpension skriver att den juridisk expertis som man har konsulterat med bedömer att det sannolikt är ett brott att göra intrång och olovligen kopiera uppgifter på det sätt som Seeqest gör på Minpension.
”Därför har Minpension tydligt informerat Seeqest om att de inte får kopiera uppgifter från Minpension om pensionsspararna”.
Enligt Minpensions säger sig Seeqest vilja främja hållbarhet med sin app.
”Minpension är självklart för hållbara pensionsplaceringar men vänder sig emot att Seeqest hämtar information till sin app-tjänst genom att missbruka Minpension”, skriver Minpension.
– Vi har upplyst dem om att det finns andra, lagliga metoder att hämta de uppgifter som deras tjänst behöver. Trots detta fortsätter de med sin verksamhet. Eftersom kontakterna med Seeqest inte har lett till något resultat känner vi oss tvingade att göra en polisanmälan för att skydda våra användare, säger Johan Hellman.
Minpension vilseleds
Vidare skriver Minpension att ”App-tjänsten är utformad så att användarna uppmanas använda sina e-legitimationer (BankID) på ett otillåtet sätt. Appen åberopar legitimering med användarens e-legitimation så att Seeqest kan hämta uppgifter på Minpension”.
Förenklat skriver app-användaren in sitt personnummer i app-tjänsten istället för hos Minpension.
”Minpension vilseleds därmed att tro att det är användaren som har loggat in på Minpension när det i själva verket är Seeqest. Seeqest placerar sig alltså mellan användaren och Minpension, en så kallad ”man-in-the-middle-attack”, och får därmed tillgång till uppgifter om användaren som kopieras och som sedan kan utnyttjas för helt andra syften”.
– Det här är allvarligt eftersom vi anser att e-legitimationen används på ett vilseledande och felaktigt sätt. Tilltron till den samhällsviktiga funktionen e-legitimation kan därmed komma att urholkas. Ju fler användare appen får, desto fler uppgifter kommer Seeqest hämta från oss olovligen, säger Johan Hellman.
Integritetskänsliga uppgifter
Minpension menar att den information som hämtas om användarna är integritetskänslig och radar upp att det rör sig om uppgifter om användarnas lön, storlek på framtida pension, uppgifter om kollektivavtal, vilka pensionsbolag som förvaltar kapitalet, hur stort det är och var det är placerat (exempelvis i vilka fonder).
– Vi måste givetvis skydda pensionsspararnas uppgifter mot risker för missbruk av olika slag, det har vi förbundit oss i avtal att göra. Vi polisanmäler för att förhindra liknande händelser i framtiden. Utöver polisanmälan har vi nyligen genomfört en rad tekniska skyddsåtgärder för att så långt möjligt försvåra missbruk av minPension, säger Johan Hellman.
