Din varukorg är för närvarande tom!
IMY kritiserar polisen för att känslig brottsdata mailades till fel mottagare
Författare: Kave Noori
Integritetsskyddsmyndigheten publicerade den 17 januari 2023 ett tillsynsbeslut som konstaterade att Polisen under augusti 2018 hade behandlat personuppgifter i strid med brottsdatalagen.
Polismyndigheten tillåter sina anställda att skicka känsliga personuppgifter via interna
e-postmeddelanden till sina kollegor. IMY:s utredning konstaterar att om uppgifterna skulle hamna i obehöriga händer, så skulle det leda till en betydande kränkning av målsäganden och misstänktas personliga integritet.
Utredningen visar att huvudorsaken till det obehöriga röjandet av personuppgifterna var att poliser råkat felstava sina kollegors mailadresser. Det var en utomstående person som själv har registrerat flera domäner med olika felstavningar av polisen.se som själv tagit initiativ till att informera Polisen om att e-postmeddelanden har kommit till fel mottagare.
I tillsynsbeslutet kan man läsa att ägaren till domänerna haft en vanlig funktion aktiverad som kallas för ”catch all”. Denna funktion gör att även e-post som skickas till en adress som inte existerar på en viss domän ändå vidarebefordras till en utsedd inkorg.
– Polisen hade vid tiden för det inträffade inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlades så att obehöriga inte kunde komma åt dem, säger Jonas Agnvall, jurist på IMY i ett pressmeddelande.
Polisen har under utredningens gång infört nya åtgärder för att minska risken för att det som inträffat kan ske igen. I sitt beslut lyfter dock IMY fram att det finns en risk att dessa åtgärder inte är tillräckliga och rekommenderar polisen att vidta ytterligare åtgärder för att höja skyddsnivån.
Vidare framgår det av tillsynsbeslutet att IMY är oroliga för att polismyndigheten inte heller uppfyller sin skyldighet att informera berörda individer när det inträffar en personuppgiftsincident. Därför uppmanar IMY Polisen att se över hur myndigheten hanterar personuppgiftsincidenter.
Slutligen beslutade IMY att inte utdela någon sanktionsavgift. IMY tog hänsyn till att polisen har försökt lösa situationen även om åtgärderna var otillräckliga. IMY ansåg att det inte är motiverat att utfärda en sanktionsavgift.