Det har blivit allt vanligare på marknaden att erbjuda det som kallas för interaktiva fakturor. Det gäller dock att se upp då det kan var så att känsliga personuppgifter blir tillgängliga helt oskyddat.

I grund och botten är det en tjänst som bygger på att det distribueras en länk via e-post eller sms som leder till en landningssida där fakturan presenteras. Allt som oftast är det en sammanställning av fakturans reskontrauppgifter som visas tillsammans med möjligheten att betala fakturan. Fakturan i sin helhet går sedan att se i PDF-format. Både e-post/sms och landningssidan är oskyddad i den mån att det inte krävs någon identifiering för att ta del av uppgifterna och e-post samt sms är båda okrypterade.

Detta kan vara både en bra och trevlig tjänst för vissa men det gäller att se upp. Exempelvis när du skickar ut energifakturor som innehåller både anläggningsnummer och personuppgifter samlat. Vi har låtit vår informationssäkerhetsansvarig Marcus Broman förklara varför.

ANLÄGGNINGSNUMMER ÄR UNIK

Energifakturor innehåller vanligen kontaktuppgifter, mätarställning, kundnummer, anläggningsnummer (anläggningsID), mätarnummer (mätarID), avtalstyp samt förbrukning. Anläggningsnummer är en unik identifierare för en specifik elanläggning, som till exempel en bostad eller en arbetsplats. Ett anläggnings-ID eller anläggningsnummer är som ett personnummer för en elmätare. Det är en unik kod som består av 18 siffror och börjar alltid med 735 999. Koden är unik för oavsett vem som flyttar in och ut. För en aktör som kommit över en faktura kan uppgifterna identifiera en individ. Genom att även uppgifter om kund finns på fakturan innebär detta en direkt identifiering av den individ som innehar el-abonnemanget. Medan anläggningsnummer i sig inte är känslig information kan det potentiellt missbrukas om det hamnar i fel händer.

Några risker kan inkludera:

• Felaktiga ändringar: Om någon får tillgång till anläggningsnumret och ytterligare information kan de potentiellt göra obehöriga ändringar i elavtalet.

• Ekonomisk skada: Om någon obehörigt avslutar eller ändrar i ett elavtal kan det leda till ekonomiska påfrestningar, som att bli tvungen att teckna ett nytt, eventuellt dyrare, avtal.

• Personlig säkerhet: I extremt ovanliga fall kan obehörig åtkomst till anläggningsnummer, kombination med annan information, användas för att spåra en individs fysiska plats.

För att minimera riskerna bör anläggningsnumret och andra uppgifter relaterade till ett elavtal hållas konfidentiella och endast delas skyddat med behöriga personer eller organisationer. Innehållet i en energifaktura bör betraktas som skyddsvärda personuppgifter, då detta kan vålla ekonomisk eller annan skada för en individ.

Vi på IDATA har en skyldighet enligt GDPR att informera dig som personuppgiftsansvarig om det föreligger några risker med den hantering du ber oss utföra. Vi vill givetvis se till att vara i framkant med utvecklingen och vi ska alltid se till att du som kund får de tjänster som du och dina kunder efterfrågar.

Men tillsammans ska vi se till att göra det på ett säkert sätt så att ingen riskerar att hamna i kläm. Det finns enkla, säkra och lämpliga lösningar för alla typer av utskick och tveka inte att höra av dig om du vill veta mer om lämpliga säkerhetsåtgärder specifikt för den information du skickar ut till dina kunder.