Illustration av en produkt artikel
Publicerad den

Seeqest vs minPension - den juridiska aspekten

Seeqests lösning för analys av användarnas pensionsfonder är problematisk för den bryter troligtvis både mot lagen och minPensions användarvillkor. Men det finns fler intressanta aspekter än den rent juridiska.

Det här är andra delen i en serie av totalt tre artiklar där jag synar minPensions polisanmälan av företaget bakom tjänsten Seeqest. I första delen beskrev jag bakgrunden till anmälan och funderade över tekniska aspekter.

Nu är det dags att ta en närmare titt på de juridiska aspekterna. Jag vill vara tydlig med att jag är lekman på området. Dock har jag synkat mina tankar med personer som är mer juridiskt kunniga än vad jag är, och om ni läsare hittar tveksamheter eller rena felaktigheter så uppskattar jag om ni lägger en kommentar med er syn på saken.

Man kan dela upp den juridiska aspekten i tre delfrågor:

  1. Avtalet mellan användaren och minPension
  2. Avtalet mellan användaren och banken
  3. Vad säger svensk lag?

(I skrivande stund är Seeqests tjänst gentemot privatpersoner på paus. I väntan på att den återlanseras erbjuds deras tjänst enbart till företag. Fallet är dock lika aktuellt som tidigare eftersom det sätter fingret på problem som är allmängiltiga.)

Avtalet mellan användaren och minPension

När jag läser minPensions användaravtal hittar jag framförallt två klausuler som är intressanta:

Klausul: “Informationen är enbart avsedd för dig”

I denna klausul står det:

Informationen som Anslutna Pensionsaktörer lämnar till minPension om din intjänade/insparade pension och din samlade pensionsbehållning är endast avsedda för dig personligen. Informationen får inte göras tillgänglig för (utöver vad som anges i dessa Användarvillkor) eller lämnas vidare till annan (person eller företag) för att användas i deras verksamheter oberoende av om det sker i allmänt eller kommersiellt syfte.

Här blir det ganska uppenbart att en användare som använder Seeqest bryter mot detta avtal. Seeqests affärsmodell bygger ju på att sälja analyser av insamlat (avpersonaliserat) användardata, data som enligt avtalet är avsett enbart för användaren själv. Man kan fråga sig hur många av användarna som inser att de faktiskt bryter mot avtalet, vi vet ju alla med oss hur noggrannt vi läser långa och tråkiga användaravtal…

Klausul: “Du får inte missbruka din e-legitimation”

Texten i denna klausul är rätt och slätt en hänvisning till svensk lag angående missbruk av e-legitimation (se längre ner i artikeln). Vitsen med att hänvisa till svensk lag i ett användaravtal ger, såvitt jag kan förstå, minPension möjlighet att dels hävda avtalsbrott gentemot en användare, dels utesluta användaren från tjänsten om användaren bryter mot svensk lag i samband med nyttjandet av den.

Eftersom användaravtalet avslutas med en generell klausul om att agera i enlighet med svensk lag så blir rimligtvis klausulen om missbruk av e-legitimation helt överflödig. Att klausulen finns med är nog bara ett försök att vara extra tydlig i frågan. Det är oklart om denna klausul har funnits med från början eller tillkommit med tiden. Ska vi gissa att denna klausul lagts till som ett resultat av att Seeqest-liknande tjänster har poppat upp?

Avtalet mellan användaren och banken

Som BankID-användare har man inget avtal direkt med BankID. Vad man har är ett avtal med utfärdande bank och innehållet i avtalet skiljer sig något mellan bankerna. En inte alltför vild gissning är att samtliga dessa avtal är tydliga med att du som användare måste vara noga med att inte dela ditt BankID med någon annan och inte avslöja din PIN-kod. I avtalet jag har med min bank står det:

Kunden ska vidta nödvändiga åtgärder för att skydda sig mot att Säkerhetslösningen används obehörigt.

Med denna typ av formulering blir det ju en tolkningsfråga om vad “obehörigt” innebär. I Seeqest-fallet kan man tänka sig att banken och användaren har olika åsikter, och vem som har rätt i juridisk mening vågar jag inte uttala mig om.

Vad säger svensk lag?

Såhär står det om användning av e-legitimation i brottsbalken, kapitel 15 paragraf 12:

Den som sanningslöst åberopar pass, betyg, identitetshandling eller annan sådan för enskild person utställd urkund såsom gällande för sig eller annan person eller lämnar ut sådan urkund för att missbrukas på det sättet döms, om åtgärden innebär fara i bevishänseende, för missbruk av urkund till böter eller fängelse i högst sex månader.

Eftersom jag inte är jurist tänker jag inte göra en egen tolkning av detta. Det finns inte heller något prejudikat där ett företag med en Seeqest-liknande tjänst har dömts i enlighet med den här paragrafen (vilket ju är huvudanledningen till att minPension gjort sin anmälan). Däremot har organisationen eSam tagit hjälp av juridisk expertis för att tolka den. Deras uttalande kan du läsa här. I uttalandet beskrivs ett Seeqest-liknande förfarande med

... en särskild it-miljö tillhandahålls där innehavaren förmås avaktivera sin e-legitimation för att någon annan ska kunna åberopa den och bli insläppt i den e-tjänst som är målet för åtgärden

vilket sen analyseras och bedöms strida mot ovan nämnda lag. Om eSam har rätt i sin tolkning är min bedömning att Seeqest alltså bryter mot lagen när deras tjänst används. Jag tolkar det också (även om det inte är lika tydligt) som att användaren bryter mot lagen när hen använder sin e-legitimation för att släppa in Seeqest till minPension.

Pensionsmyndigheten, som är en av parterna bakom minPension, är medlem i eSam. Detta är värt att notera i sammanhanget, även om jag förutsätter att jurister som sätter sitt namn på den här typen av rättsliga uttalanden gör det baserat på sin kompetens och kunskap och inte låter sig påverkas av uppdragsgivaren. (Dessutom skrevs uttalandet innan Seeqest introducerades på marknaden).

Slutsats

En sammanfattning av min (lekmannamässiga) tolkning av lagen och de tillämpliga användaravtalen blir alltså att:

  • Varje gång en användare loggar in till Seeqest/minPension så bryter både Seeqest och användaren mot svensk lag
  • Användaren bryter även mot användaravtalet med minPension
  • Det är oklart huruvida användaren bryter mot användaravtalet med sin BankID-utfärdande bank

Detta kan tyckas allvarligt. Men jag förmodar att lagen skrevs för att komma åt ohederliga aktörer som försöker utnyttja företag och användare mot deras vilja och vetskap. I det här fallet verkar det snarare vara ett till synes hederligt och transparent företag som, eftersom det inte finns några tekniska alternativ, bygger en lösning som visar sig vara olaglig.

Enligt mig kvarstår dock den mest intressanta frågan: Vem äger egentligen informationen om oss hos minPension? To Be Continued i sista delen av artikelserien om Seeqest vs minPension!!