Kunder hos den svenska nätbanken Avanza som ansökt om lån har utan att bli tillfrågade fått sina personnummer, telefonnummer, mejladresser och information om befintliga lån skickade till plattformen.

Det är SR Ekot som avslöjar hur Avanza hanterar personuppgifter. Banken har över en miljon kunder i Sverige och granskningen visar att bland annat personnummer, mejladresser och detaljer ur kunders låneansökningar har läckt till Facebook. Läckan ska ha pågått i ett och ett halvt år.

Då Ekot kontaktar Avanza stänger de av funktionen. I ett initialt skede förnekar man att exempelvis personnummer läckt, men vid uppföljande intervjuer bekräftar man att så skett. Då påstår man att det rört sig om ett handhavandefel vilket man är “väldigt glada” över att ha fått uppmärksammat för sig.

Funktionen implementerades i slutet av 2019 och sedan dess har banken fått en halv miljon nya kunder. En stor del av dessa har enligt vd Rikard Josefson fått sina personuppgifter skickade till Facebook.

16 sekunder för att ta fram personnummer

Då Facebook tar emot uppgifterna paras de ihop med plattformens användare, men sedan ska de raderas. Då de skickas hashas de, men enligt Integritetsskyddmyndigheten utgör även hashad information personuppgifter och beroende på vilken information som hashats kan den vara lättare eller svårare att göra om till klartext. För den sakkunnige som Ekot anlitat tog det 16 sekunder att få ut personnumret ur en hash som Avanza skickat till Facebook.

Efter intervjun meddelar Avanza att de anmält sig själva till Integritetsskyddsmyndigheten.

Tidigare har Ekot också uppmärksammat hur vem som helst kunnat söka upp användarnamn som tillhör bankens kunder, vilket kan innebära att banken har röjt sekretessbelagd information om sina kunder.