Skatteverket varnar för läckta personuppgifter via tredjepartstjänst

Då är frågan om det bara var slarv / inkompetens, eller om de faktiskt försökte smyga till sig värdefull data och hoppades komma undan med det. Oavsett är det ju tummen ner på Telenor!

Edit: Håller med Emil nedan. Att lita på att totalt godtyckliga aktörer ska ha en sund moral bas och inte göra något olämpligt är på inget vis ett vinnande koncept i sådana här sammanhang. Är skatteverket bara för lata för att införa ett system för att administrera begäran om uthämtning av information, så de bara läger ut allt mer eller mindre fritt i god tro??

Jo absolut är det skatteverketsfel I grunden men Telenor har inte gått ut med något pressmeddelande vilket ändå är konstigt. Är ju ändå deras partner som har kollat efter infon, nu kommer folk börja spekulera vad de använt den infon till och hur många som är drabbade. Känns som en kommunikationsmiss.

Absolut, men skillnaden är att inom vården så har du som patient rättighet att spärra din journal, helt eller delvis. Då kan den enbart läsas vid akuta nödsituationer av vårdpersonal utan ditt medgivande (te.x. om du är medvetslös efter en olycka eller så).
Vanligast är att folk vill spärra journaler från psykiska- och sexualmedicinska enheter.
[edit] Ser att jag snurrade iväg litegrann. Det jag syftade på var att du som person inte kunnat hindra Telenors underleverantör att hämta viss information eller göra den oläslig, till skillnad från resten av mitt vårdrelaterade inlägg.[/edit]

Att "ha en bra anledning" till att läsa en journal kallas för att ha en vårdrelation. Saknar man vårdrelation, så har man inget i journalen att göra.
Sedan sker det, precis som du säger, regelbundna kontroller av slumpmässiga journalaccesser. Upptäcks det där att t.ex en läkare läst en journal tillhörande en patient som läkaren saknar vårdrelation med så kommer det få konsekvenser.

Gällande artikeln så ser jag inget förvånande i att Telenors underleverantör får tillgång till allt, men får inte lov att hämta det. Detta är inte alls ovanligt i IT-sammanhang och en högst personlig gissning är att det är mycket enklare att skapa en ren integration istället för en med begränsningar. En integration med begränsningar kräver underhåll allteftersom krav och avtal förnyas.

Och har man vart inne och kikat på nåt som man inte har med att göra, åker man Väl ganska stört. Kan tänka mig en del kollar upp kändisar t.ex. Dålig idé

Skickades från m.sweclockers.com

Telenor har informerat de berörda kunderna via sms och har samtidigt fått brev från skatteverket så båda parter har koll på det. Verkar som att de hämtat mer info än bara personnummer som de ska matcha de har också kunnat hämta info inkomst men inte gjort det så är ju fortfarande dåligt att det händer. Men inte så illa som det kunde vara...

@TheMadPanda: Jo absolut, försöker inte grönflagga Telenor på något vis. Valde bara att fokusera på och spekulera om Skatteverkets motiveringar för att jag tyckte det var intressant att lyfta, som ett sidospår.

@aholman: Det stämmer. Du riskerar betydligt mer än bara en smäll på fingrarna. Men det känns ändå lite sådär. Jag var själv förvånad när de förklarade det för mig när jag började jobba med det.

Jag har inte hört ett enda ljud ifrån Telenor, men fick idag följande brev ifrån SKV:

Jag kontrollerar alltid mitt BankID och vad den säger att den vill verifiera sig mot, försöker man logga in på *.telenor.se och BankID hade sagt "Skatteverket" så hade det varit *ABORT! ABORT!*.
Inte sett något sådant på telenors sida, då jag använder användarnamn och lösenord i normalfallet.

Det är ju helt sjukt att detta får ske. Hur är säkerhetstänket hos de som gjorde den där integrationen?

Men mycket med hur webben fungerat är idiotiskt ur en säkerhetssynvinkel. Allt från trackingcookies till hur olika iframes/webbdelar kan leda besökaren hur långt som helst från startsidan utan att detta framgår.

Skickades från m.sweclockers.com

Nej så enkelt är det inte. Även om du har en vårdrelation är det inte säkert du får kolla patientens journal, det beror på typen av vårdrelation och är en ganska känslig fråga med lite gråzon. Jag har haft patienter jag jobbat med i veckor utan att ha haft en tillräckligt bra anledning för att ha tillstånd att läsa deras journal. I sådan gråzonsfall kan du dock komma undan med en (skarp) varning, blir inte kicken direkt. (Patientens rätt till personlig integritet vägs bl.a. mot personalens säkerhet, och det händer att personal blir upprörda ibland över att de inte fått veta vissa saker om vissa patienter.)

Problemet, om jag har fattat rätt, är att Identitrade lägger sig som en MITM och låter dig som slutkund identifera dig mot Skatteverket. Klart som tusan att Identitrade kan se all din info på Skatteverket, de loggar ju in som dig på Skatteverket!

Detta är precis samma sätt som Tink använder sig av för att hämta dina banktransaktioner och Trustly gör för att du snabbt ska kunna sätta in pengar hos exempelvis Avanza.

I korthet; när du loggar på siter var noga med att titta VAD du identifierar dig emot. Loggar du in på Telenor men det står Skatteverket i appen bör man ana ugglor i mossen.