En person har begärt att få information om antalet anmälningar om personuppgiftsincidenter Datainspektionen tagit emot från Region Jönköpings län under en viss period. Personen har anfört att begäran inte omfattar innehållet i rapporterna och att själva uppgiften om antalet rapporter inte kan anses utgöra känslig information.

Datainspektionen avslog begäran med hänvisning till bl a 18 kap 8 § 3 OSL, prop. 2003/04:93 s 82 samt SOU 2017:36 s.247-257. Datainspektionen uttalade liksom i tidigare liknande ärenden att incidentrapportering enligt dataskyddsförordningen kan innebära en upplysning om att ett IT-system är sårbart. 

Kammarrätten i Stockholm uttalar nu att anmälan och uppgift om anmälans förekomst borde kunna lämnas ut om den inte innehåller känsliga uppgifter, och konstaterar att de aktuella anmälningarna ”till stora delar” inte omfattar några sådana uppgifter. Vidare uttalar domstolen att anmälningar som inte innehåller känsliga uppgifter inte lämnar upplysning om brister i säkerhetsåtgärder. 

Enligt domstolen är det inte tillräckligt att göra en generell bedömning för att sekretessbelägga samtliga anmälningar. Kammarrätten undanröjer beslutet och återförvisar målet till Datainspektionen för ny sekretessprövning enligt 2 kap 15 § tryckfrihetsförordningen. 

Datainspektionen har tidigare rekommenderat regeringen att stärka sekretessen (läs mer här). Medlemmar kan också ta del av vårt seminarium om incidentrapportering och offentlighet från den 15 oktober 2018 under medlemssidorna.

Fredrik Svärd
fredrik.svard@dpforum.se