Sökte bolån hos Avanza/Stabelo och de bad mig att lägga filer i dropbox, är det rimligt?

Hej!
Jag har ansökt om bolån på Avanza och är ombedd att komplettera med diverse uppgifter. Det är bolaget Stabelo som sköter lånedelen åt Avanza. För att komplettera ska jag släppa filer i ett fält i webbläsaren och de hamnar då i en dropboxmapp.
Det känns lite olustigt att släppa bilder på sitt körkort + ett par andra dokument som jag inte vill ska komma på villovägar.

Är det säkert att fullfölja kompletteringen? Ja säger den del av hjärnan som förstår att det är så ett antal tusen människor redan gjort och det gick bra. Nej säger den delen av hjärnan som vet att dropbox bannats på en del arbetsplatser för att det inte betraktas som säkert.

1 gillning

Maila deras dataskyddsombud och fråga hur de hanterar det och säkrar uppgifterna!

SBAB som jag använde hade inte dropbox men egen liknande lösning med filer man laddar upp. Jag har ingen aning om de använde egna servrar eller molnlösning och om det lagrades i Sverige. Om det är en officiell lösning som tillhandahålls från dropbox borde det inte vara värre än hos andra banker som har digital hantering??

2 gillningar

Som andra sagt, klart du ska fråga. Men, hade du tyckt det varit konstigt om de bett om dem i ett vanligt mail, för det hade varit långt mer osäktert. Att använda sig av något “ftp”-tjänst för uppladdning av känsliga filer är standard. Använder det i mitt jobb ofta där kunder laddar upp konfidentiellt material, sånt vill man inte ha/skicka via mail. Troligen kan du känna dig säker, men som sagt, fråga!

Edit: om just dropbox skulle vara mindre/mer säkert än andra tjänster låter jag vara osagt. Men principen är rätt.

1 gillning

Bra förslag :slight_smile:
Dropbox har ju hackats en del. Jag tror, utan att veta, att bankerna har högre säkerhet.

Vanligt mejl skulle vara mkt konstigt. Märkligt att de inte har någon typ av tjänst där man identifierar sig med bankID.

1 gillning

Om det endast rör sig om filuppladdning så är ju bankid lite överflödigt förutsatt att det går rätt till. Men när man ändå har ett så fint system för e-leg som vi har i sverige så kan jag hålla med om att det skulle användas för allt informationsutbyte oavsett riktning egentligen. Om inte annat skulle det ju göra det tydligare när det rör sig om bedrägeri om man vet att legitimering alltid krävs, och man får ju en viss försäkran om vems tjänst man fanktiskt laddar upp filerna till.

Men oj! Personuppgifter i Dropbox med amerikanskt ägande och kanske också servrar i USA är väl inte förenligt med GDPR? Skulle aldrig ha att göra med ett företag som inte förvarar alla personuppgifter i EU/EES.

1 gillning

Nu tror jag väl det skulle gå bra men när jag frågade bolaget så duckade de frågan!!!

De hänvisade till hur stort Dropbox (market cap) är och att si och så många bolag i USA använder Dropbox. Det är klart jag tror på det… men de svarade inte på om de har personuppgiftsbiträdesavtal med Dropbox t.ex.

Ja. Många bolag använder Dropbox. Till och med många bolag i EU/EES använder Dropbox. Men allt färre bolag använder Dropbox för att lagra personuppgifter eftersom de inte vill få böter för att ha brutit mot GDPR.

Samtidigt är det lätt att känna med bolaget. De har kanske inte tid, pengar eller kompetensen att hänga med i allt svårare lagstiftning gällande personuppgifter.

Hur slutade det för dig, @Dunderklumpen ?

Jag har också fått en Dropbox länk nu i dagarna vid samma fråga.

Jag skickade med snigelpost. Stabelo har inte personupgiftsbiträdesavtal med Dropbox utan menar att det är upp till kunden att godkänna användarvillkoren med Dropbox. Jag ställer mej lite tveksam till en sån inställning när det är på uppmaning av Stabelo som kunderna förväntas göra det. Visst, det kanske håller rent juridiskt men det är väl ungefär lika mycket värt som att alla som använder google och apple “godkänner” användarvillkoren: nej det gör de ju inte -de trycker på en knapp (där det står godkänn villkoren) för att kunna googla och ringa.

Väldigt intressant, kommer nog bli snigelpost i mitt fall då också…

Jag har tyvärr inte behövt sätta upp en hantering av GDPR själv inom nåt bolag så kan inte alltsammans fullt ut. Men jag är tveksam till att det skulle hålla juridiskt ändå. Man får inte hantera datan (som krävs för tjänsten) hur som helst. Så vitt jag vet kan man bara avtala till sig att få behandla vilken data som helst om en person. Men det innebär inte att man kan avtala om vilken hantering som helst av datan.

Det där låter ju helt oseriöst.

2 gillningar