Incidentrapporter och offentlighetsprincipen – hur ska vi ha det?

Författare:

|

Datum:

|

Datainspektionen har tidigare rekommenderat regeringen att se över bestämmelserna i offentlighets- och sekretesslagen. Kammarrätten i Stockholm har nu prövat ett mål om sekretess för uppgifter rörande incidentrapporter och gett en journalist rätt mot Datainspektionen. Vi menar i likhet med Datainspektionen att lagstiftaren bör staka ut vägen.

De incidentrapporter som lämnas till Datainspektionen blir offentliga om inte annat framgår av offentlighet- och sekretesslagen, OSL. Datainspektionen rekommenderade förra året regeringen att stärka sekretessen, bl a med hänvisning till att rapporter kan innehålla detaljerad information om säkerhetsbrister hos företag och myndigheter. Offentliggöranden kan uppmuntra attacker, menade myndighetens chefsjurist Hans-Olof Lindblom.

Sekretess enligt Datainspektionen

Datainspektionen har sedan dataskyddsförordningen började gälla i maj i år vid flera tillfällen beslutat att inte lämna ut rapporter med hänvisning till sekretess. När Forum för dataskydd begärde att ta få ta del av en incidentrapport i juli meddelade Datainspektionen att sådana handlingar omfattas av sekretess för uppgifter som lämnar eller kan bidra till upplysning om säkerhets- och bevakningsåtgärd enligt 18 kap. 8 § 3 OSL, och hänvisade bl a till att incidentrapportering till Post- och telestyrelsen tidigare ansetts omfattas av sekretess enligt bestämmelsen. Sekretessen omfattar inte bara rapporter, utan även uppgifter om ingivarens identitet. Datainspektionen meddelade att en anmälan om en incident inkommit, men avslog begäran om att få ta del av handlingen.

Journalist fick rätt i kammarrätten

Datainspektionen beslutade i juni att inte lämna ut en handling till en journalist med samma motivering. Journalisten överklagade och fick i början av augusti bifall i kammarrätten. Journalisten gjorde gällande att Datainspektionen gjort tolkningen att varje incidentrapport avslöjar brister i IT-system och att myndigheten därmed inte prövar varje handling i förhållande till sekretessen.

Kammarrätten i Stockholm konstaterade att den incidentrapportering som ska ske till Datainspektionen kan innebära en upplysning om att ingivarens IT-system är sårbart för attacker. Den aktuella incidenten avsåg dock inte intrång eller brister i den personuppgiftsansvariges IT-system. Anmälan innehöll inte heller uppgifter som kan bidra till att avslöja att IT- eller säkerhetssystemet är sårbart för attacker. Domstolen beslutade därmed att handlingen ska lämnas ut.

Kommentar: Sekretessreglerna bör ses över

Dataskyddsreglerna bör så långt det medges tillämpas på samma sätt i medlemsstaterna. Offentlighetsprincipen syftar visserligen inte enbart till att ge medborgare insyn i den offentliga förvaltningen (prop 1975/76:160 s. 71), men sker inte utlämnanden av uppgifter om incidentrapporter med restriktion kan exempelvis multinationella företag komma att försöka göra anmälningar i andra jurisdiktioner. Även variationer mellan tillsynsmyndigheternas kapacitet kan utnyttjas, och en indirekt konsekvens av det aktuella avgörandet kan bli att Datainspektionen nu får lägga mer tid på sekretessprövningar.

Det är olyckligt om vi halkar in på ett alltför nationellt spår även om det formellt kan synas korrekt mot bakgrund av vår långtgående offentlighetsprincip. Det är därför angeläget att lagstiftaren omprövar och ser över sekretessbestämmelserna i enlighet med Datainspektionens tidigare rekommendation.

 

Fredrik Svärd
Generalsekreterare Forum för dataskydd