Nu har det hänt igen. Tele2 och budgetoperatören Comviq har för tredje gången på fem år skickat kunduppgifter till nummerupplysningsföretag, trots att kunder har meddelat att uppgifterna ska hållas hemliga. Denna gången ska ett systemfel ha ändrat statusen på kunders profiler, vilket har lett till att hemliga uppgifter publicerats på webben.
3 300 hemliga nummer
Tele2 är inte främmande för misstag i sin hantering av hemliga nummer. 2016 gjorde ett fel i Comviqs app att kunder som begärde hemligt nummer inte registrerades. Sommaren 2019 bekräftades uppgifter om att 22 000 abonnenters personuppgifter felaktigt hade publicerats av nummerupplysningsföretag i en separat incident. Tele2 skyllde då på systemfel och menade att det tog fyra månader att utreda misstaget på grund av en ”komplex IT-miljö”. Operatören har av allt att döma fortsatta problem med sina system. Ett datorprogram ska nu av misstag ha ändrat publiceringsstatus för 3 300 kunder, vars uppgifter skickats till nummerupplysningsföretag. Dessa uppgifter publiceras av företagen på bland annat webben. Migrationen gjordes för kunder som har registrerade kontaktkort. Kunder med abonnemang bör med andra ord inte påverkas. Tele2 kommer att kontakta alla berörda kunder och har åtgärdat felet så att uppgifter inte längre publiceras.
Den nya läckan ska enligt en rapport som skickats till Post- och telestyrelsen orsakats av en migration i ett system. I migrationen ska ett program ändrat ett antal abonnemang till statusen ”publicera”. Detta ska ha lett till att kunders personuppgifter skickats till nummerupplysningsföretag, trots att kunder aktivt bett Comviq att hålla numren hemliga. Tele2 upptäckte felet när en kund kontaktade dem och frågade varför hens uppgifter hade publicerats, när de tidigare varit hemliga. Tele2 skriver i rapporten att problemet i migrationen uppstod den 25 november. Det tog alltså tre månader innan misstaget upptäcktes.
– Comviq tar kunders integritet på absolut högsta allvar. Den här typen av incidenter får inte ske, säger Joel Ibson, Head of Corporate Communications på Tele2.
Hemligt nummer och allvarliga hot
Med hemligt nummer menas generellt att numret inte går att söka och hitta hos nummerupplysningsföretag. Det är alltså inte samma sak som dolt nummer, som döljer numret för mottagaren av ett samtal. Hemligt nummer kan användas av sekretesskäl för att personuppgifter och telefonnummer inte ska vara tillgängliga offentligt. Hemliga nummer kan användas av personer som har kritiska säkerhetsskäl att hålla sina uppgifter utom offentligheten. Telefonnummer som ska hålls hemliga men som publiceras på webben kan i värsta fall resultera i allvarliga hot mot personer.
Automatiskt för alla nya kunder
Vissa operatörer har slutat inhämta samtycke för att automatiskt dela kunders uppgifter med nummerupplysningsföretag. Telenor slutade skicka nya kunders uppgifter i maj 2018 och budgetoperatörer såsom Vimla och Hallon skickar inte uppgifter till nummerupplysning för nya kunder. Tele2 skickar automatiskt uppgifter till nummerupplysning, efter samtycke från kunder, och hänvisar abonnenter till kundservice om de vill ha hemligt nummer. Comviq låter kunder styra funktionen genom sin hemsida. Nu öppnar Tele2 för att ändra hur de hanterar hemliga nummer.
Vi och många med oss har tolkat Lagen om elektronisk kommunikation (5 kap §7) som att vi operatörer är skyldiga att tillhandahålla telefonnummer till nummerupplysningstjänster, gällande de kunder som inte aktivt valt att deras uppgifter ska vara hemliga. Detta är också något som majoriteten av våra kunder föredragit eftersom deras nummer annars inte blir sökbara. Skulle Post- och telestyrelsen vara öppen för att vi får göra nummer hemliga även om kunderna inte begärt det och detta är något som kunderna aktivt efterfrågar är vi dock så klart öppna för att ompröva vår bedömning framöver, skriver Joel Ibson, Head of Corporate Communications på Tele2, i ett mail till Surfa.
När vi pratar med Post- och telestyrelsen säger de att det finns bestämmelser i lag om att operatörer ska dela uppgifter med nummerupplysningsföretag. Det finns samtidigt en tydlig huvudregel om att all information som kunder delar med operatörer går under tystnadsplikt. Detta kan förändras genom att kunder samtycker till att information delas. Tele2 och Comviq inhämtar ett sådant samtycke men lagen kräver inte att samtycke inhämtas aktivt.
– Enligt huvudregeln är det tystnadsplikt för den här informationen. Så om jag vore en operatör som inte ville dela den skulle jag helt enkelt säga att det är tystnadsplikt för uppgifterna, om kunder inte har samtyckt till publicering, säger Anna Montelius, jurist på nätsäkerhetsavdelningen på PTS.
Går hemliga nummer att lita på?
De återkommande problemen med hemliga nummer lyfter frågan om svenska konsumenter kan lita på att operatörer har tillräcklig koll på kunders personuppgifter. Post- och telestyrelsen är översynsmyndighet för teleoperatörer i Sverige och medger att det finns problem.
– Vi har haft tillsyn kring det här så vi vet att det händer ibland. Naturligtvis är det så att saker blir fel men med just det här, måste man visa särskild omsorg.
– Det här ska fungera bättre och det är klart att vi behöver titta på liknande saker som har hänt och om det krävs tillsynsåtgärder för det här tillfället, säger Anna Montelius, jurist på nätsäkerhetsavdelningen på PTS.