RINF VT16 em RINF VT16 em Personnummer: Betyg: Totalpoäng: 25. Övergripande kommentar:

Transkript

1 RINF VT16 em RINF VT16 em Personnummer: Betyg: Totalpoäng: 25 Övergripande kommentar:

2 2 RINF VT16 em STOCKHOLMS UNIVERSITET Juridiska institutionen Tentamen i Rättsinformatik den 11 februari 2016, kl Skrivningen består av 3 frågor om sammanlagt 30 poäng. Tentamen besvaras på dator. Rättningen är anonym. Examinatorer: Cecilia Magnusson Sjöberg, Mårten Edenroth och Alexandra Sackemark För att erhålla betyg från tentamen måste samtliga obligatorier ha uppfyllts. Alla studenter måste vara anmälda till tentamen. Examinationsregler: Alternativ 4. All kurslitteratur är tillåten, författningssamling eller lagbok, rättsfallssamling, utskrifter av material från kurshemsidan, samt seminarieinstruktionerna och seminarieinlämningar. I det tillåtna materialet är över- och understrykningar och handskrivna anteckningar tillåtna. Egenskrivna anteckningar skrivna på dator eller för hand är tillåtna. Utskrifter av rättsfall, lagkommentarer och artiklar m.m. som ej behandlats på kursen är inte tillåtna. Resultatet meddelas genom FastReg senast 3 veckor från dagens datum. LYCKA TILL BÄSTA STUDENTER!

3 RINF VT16 em Fråga 1 Energibolaget GlobEl säljer el på den svenska marknaden. Företaget har närmare en miljon kunder spridda över hela landet. GlobEl erbjuder flera olika elavtal, bl.a. rörligt avtal, mixavtal av olika slag och därtill olika finansieringslösningar kopplade till avtalen. GlobEl står nu inför att utveckla sin affärsverksamhet vilket ger upphov till flera rättsinformatiska frågor av både offentligrättsligt och kommersiellt slag. Din uppgift är att rättsligt analysera den situation som beskrivs nedan genom att dels identifiera de rättsfrågor som aktualiseras, dels göra en bedömning av rättsläget mot bakgrund av främst tillämpliga författningar och i förekommande fall praxis. Konsumenten Kon Sume har vänt sig till GlobEls kundsupport för att klaga på innehållet i ett tidigare begärt registerutdrag. Sume säger att: Det mesta är fel! Uppgifterna stämmer inte alls och de kan inte heller ha databehandlats inom ramen för rätten. Tåliga Tåre tar emot klagomålet och försöker först själv att bena upp ärendet men inser relativt snabbt att det aktualiserar en hel del principiella frågeställningar som behöver tas om hand av juristavdelningen. En del av problemen visar sig bottna i GlobEls nya IT-stöd för analys av kundbeteenden, bl.a. vad gäller elförbrukningen, intresse för bolagets kringprodukter som lågenergilampor och även indikatorer på kommande betalningssvårigheter. Det som särskilt retat upp Sume är uppgiften om civilstånd som gift (trots skilsmässa för ett tiotal år sedan) och att uppgift om kön över huvud taget registrerats. Sume menar dessutom att GlobEls databehandling av kundernas betalförmåga inte är tillåten eftersom datalagen förbjuder automatiserade kundbedömningar. Sume har i registerutdraget särskilt noterat en riskmarkering vid sitt namn om försenade betalningar och noteringen lågprioriterad. Sume kräver nu all sin rätt som EU-medborgare. Vid kontakter med IT-avdelningen framkommer att det tyvärr kan ha skett något misstag vid registrering och behandling av Sumes personuppgifter. Arbetsbelastningen är hög och man har helt enkelt inte hunnit med. Det stämmer alltså att uppgiften om civilstånd inte är korrekt. Uppgift om kön samlas in rutinmässigt på begäran av marknadsavdelningen eftersom man vill profilera olika erbjudanden. Den digitaliserade kundprofileringen utför IT-avdelningen också på uppdrag av marknadsavdelningen. Det IT-avdelningen säger sig kunna göra när det gäller utfallet av analysprogrammet är att tills vidare märka bedömningen av Sume som lågpriorieterad kund som tvistig. Detta kundärende har hamnat hos dig för rättsutredning och du har nu att tydliggöra vilka skyldigheter GlobEl har i den uppkomna situationen. Svar:

4 4 RINF VT16 em Frågan handlar om personuppgifter av olika slag varför det först och främst är intressant att bedöma huruvida PuL är tillämplig. Enligt 4 PuL gäller lagen för sådana personuppgiftsansvariga som är etablerade i Sverige. Personuppgiftsansvarig är den som ensam eller tillsamamns med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (3 ). Det framgår inte helt tydligt av frågan om Globel är etablerad på svenska marknaden, men de säljer el här och jag utgår från att så är fallet. Vidare gäller lagen enligt för det första 5 sådan behandling av persouppgifter som är helt eller delvis automatiserad (i datorfoemat). Personuppgifter är alla slag information som direkt eller indirekt kan härledas till en fysisk levande person (3). Civilstånd, kön, betalförmåga får alla anses vara personuppgifter. Med behandlng avses i stort sett varje typ av åtgärd med personuppgifterna (3 ). PUL får anses vara tillämplig. Nästa fråga att ta ställning till är om några undantag aktualiseras. Så förefaller inte vara fallet. 5 a kan exempelvis inte aktualsieras eftersom uppgifterna förefaller ingå i något typ av avancerat register/ärendesystem och därför inte kan sägas inte ingå in en strukturerad sammanställing. Vi kan alltså sluta oss till att PuL är tillämplig. Låt oss nu se om behandlingen har varit tillåten. Sume har utnyttjat sin rätt till registerutrag, 26 PuL och hävdar härvid 1) att uppgiften om civilstånd är felaktig. Detta medges av It-avdelningen. Rättelse enligt 28 är inte direkt tillämplig på situationen då den tar sikte på ompersonuppgifterna inte har behandlats i enlighet med lagen. Har behandlingen av uppgiften gällande civilstånd varit tillåten? Här måste de grundläggande kraven i 9-10 vara uppfyllda. Något uttryckligt syfte anges inte vad gäller behandlingen av uppgiften om civilstånd. Ett ändamål måste altid bestämmas innan insamlingen sker i syfte att kunna bedöma huruvida insamlingen är tillåtene eller inte, 9 c. För det första anser jag att relevansen i förhållande till ändamålet kan ifrågasättas (9 e ). Varför behöver Globel veta om Sume är gift eller inte? Möjligen kan civilståndet vara intressant i förhållande till kundbeteende avseende elförbrukningen (om han bor ensam eller inte kan möjligen påverka elförbrukningen, men jag anser det tveksamt). Ur kundprofileringshänsyn anser jag alltså att uppgiften inte kan ha så stor relevans. Men, låt oss säga att 9 trots allt är uppfylld. Då måste man ändå gå vidare till att se om 10 är uppfylld. Det framgår inte att Sume har lämant sitt samtycke varför någon annan rättslig grund måste finnas. Här borde f) intresseavvägningen aktualiseras. Som sagt är det intresset för vilket uppgiften behandlas inte helt klart, varför det är svårt att på ett korrekt sätt ta ställning till huruvida behandlingen bör vara tillåten eller inte. Vi kan i alla fall sluta oss till att det har att göra med elförbrukning, intresse för bolagets kringprodukter osv. Härvid ska noteras att det i så fall rör sig om någon form av kommersiella ändamål och inte uttryckligen marknadsföring (jmf nedan). Det kana rgumenteras för att detta kommersiella ändamål får anses väga lätt i jämförelse med Sumes rätt till integritet, men samtdigt har praxis på senare tid banat vägen för kommersiell användning av personuppgifter. Om uppgiften inte är tillåten att behandla (antagligen p.g.a den är irrelevant enligt 9 ) - kanske redan till följd av att inget direkt och uttryckligt ändamål finns angivet, det blir då svårt att bedöma lagligheten - anges i 28 att uppgiften ska rättas, blockeras eller utplånas. Gällande uppgiften om kön måste samma bedömning som ovan göras. Insamlingen motiveras med att man vill profilera olika erbjudanden.det kan i och för sig ifrågasättas huruvida kön har något att göra med elförbrukning - det ifrågasätts alltså huruvida denna behandlng verkligen

5 RINF VT16 em är motiverad med hänsyn till ändamålet - dvs profilera olika erbjudanden(jmf 9 e). Eftersom det här rör sig om marknadsföring aktualiseras även 19 MFL om detta ska ske via elektronisk post m.m. Det framgår inte om Sume är kund eller inte, då gäller nämligen olika regler för när denna obeställda reklam är tillåten. Som HR ska samtycke inhämtas. Om 19 MFL inte är uppfyllt blir heller behandlnigen inte laglig enligt 9 a PuL. Just nu är ett mål uppe till prövning hur långt denna laglighetsprövning ska gå. Låt oss utgå från att 9 är uppfyllt. Även 10 måste vara uppfyllt. Enligt 10 måste troligen återigen en intresseavvägning göras enligt f). Här ska uppmärksammas att intresseavvägnngen ofta har ansetts väga över till företaget fördel när det gäller marknadsföring, se exempelvis RÅ 2002 ref 54 Mecenatfallet. Detta har delvis att göra med att man har rätt att motsätta sig detta enligt 11 PuL. En bedömning måste förstås göras i det enskilda fallet och av vikt kan vara hur ofta marknadsföringen är tänkt att ske och om marknadsföringen kan anses innehålla några inslag som är integritetskränkande. Sumes påstående att "datalagen", vilket får antas vara PuL, skulle förbjuda automatiserade kundbedömningar kan inte anses vara korrekt eftersom mycket av företags verksamhet idag sker automatiserat och där är förstås en väsentlig del av arbetet att arbeta med kundbedömningar. Sume har vidare noterat en riskmarkering vid sitt namn om försenade betalningar och noteringen låtprioriterad. Fråga är om detta kan ses som ett beslut med rättsliga följder eller annars märkbara verkningar för den fysiska personen som grundats enbart på automatiserad behandlng av sådana personuppgifter som är avsedda att bedöma egensmaper hos personen (vilket exempelvis kan vara kreditvärdighet) (29 ). Eftersom det indivd hans namn har noterats "lågprioriterad" måste detta anses ha märkbara verkningar för honom. Sume bör ha rätt att få informationen omprövat av en person (jmf dataproram) - det räcker således inte med att man märker om Sume. Vidare har Sume rätt att få information om vad som styrt den automatiserade behandlingen som lett fram till beslutet - dock ingen rätt att utgå programkod i digital form. Poäng: 9 Kommentar: 2. Fråga 2 Välmåendeverket (VMV) är en myndighet vars verksamhet går ut på att öka det allmänna välmåendet i det svenska samhället. Detta gör VMV bl.a. genom olika enkätundersökningar, rapporter och kampanjer med tips på enkla knep för att åstadkomma en mindre stressfylld vardag. VMV har nu fått ett nytt regeringsuppdrag inriktat på välmåendet hos de som har den digitaliserade förvaltningen som arbetsplats. Ett övergripande syfte är att se till att offentliganställda har en god beredskap för att kunna hantera de utmaningar som elektronisk kommunikation och dokumentation för med sig. Inte minst intensiv mailutväxling med enskilda och myndigheters närvaro i sociala medier kan göra att tjänstemän känner sig särskilt utsatta. VMV:s ledning tycker detta uppdrag är särskilt intressant eftersom den egna

6 6 RINF VT16 em verksamheten är i det närmaste helt digitaliserad. Välmåendeverket och dess olika aktiviteter väcker allt större intresse i samhället. Ett exempel härpå är att Hälsan AB har begärt ut allt som omfattas av offentlighetsprincipen och som finns på VMV:s Facebooksida sex månader bakåt i tiden. Svaret blir att det inte är särskilt mycket eftersom profilsidan rensas löpande så att det bara är inlägg, länkar och bilder från den senaste veckan som ligger ute. Hälsan ABs jurist tycker det låter konstigt och modifierar sin begäran till att avse allt som VMV arkiverat av det som tidigare varit publicerat på Facebook. Inte heller detta leder till framgång, denna gång med motiveringen att myndigheten betraktar allt information på Facebook som av tillfällig eller ringa betydelse vilket i praktiken medför att informationen inte finns kvar internt annat än som säkerhetskopior. Juristen på Hälsan AB börjar bli minst sagt irriterad och kräver nu med hänvisning till bestämmelserna i PSI-lagen att i elektroniskt format få ut alla handlingar som är tillåtna att vidareutnyttja. VMV:s svar blir att man tyvärr inte har några öppna data eftersom all information antingen omfattas av sekretess, integritetsskydd eller tredje mans upphovsrätt. Juristen gör nu ett sista försök att få insyn i VMV och begär att få del av generaldirektörens ingående och utgående e-post den senaste månaden men nekas även till detta med motiveringen att meddelandena ännu inte är omhändertagna för arkivering. Hur rekommenderar du att Hälsan AB förhåller sig rättsligt till ovanstående? Svar: I frågan aktualiseras olika situationer med intresse för insynsrätten. I den första situationen önskar Hälsan AB begära ut allt som omfattas av offentlighetsprincipen och som finns på myndighetens Facebook-sida sex månader bakåt i tiden. Denna sida rensas dock löpande så bara information från den senaste veckan ligger ute. Här är frågan vad som avses med "rensande". Troligen rör det sig om allmänna handlingar på facebooksidan varför ordet "rensa" är missvisand e som tar sikte på icke allmänna.att myndigheten har tagit bort inlägg och annat på Facebook - även om det så bara överförs till ett annat medium - innebär ett gallrande och kräver stöd i lag samt beslut (jmf arkivlagen 10 ). Det innebär att det material som inte längre finns kvar inte heller kan begäras ut med stöd av TF. Däremot kan Hälsan få ut det som ligger kvar ute på sidan. Detta är en upptagning som kan uppfattas mha tekniska hjälpmedel (2:3 1 st, förvaras hos en myndighet (2:3 2 st TF) och får anses vara upprättade enligt 2:7 1 st första meniingen (expedierad, genom att ha publicerats).

7 RINF VT16 em I nästa situation vill Hälsan få ut det som myndigheten arkiverat. Myndigheten menar att det inte går då det ansetts vara av "illfällig och ringa betydelse" vilket innebär att informationen bara finns kvar internt som säkerhetskopior. Av RAFS 1997:6 2 framgår att myndigheten ska gallra allmänna handlingar av tillfällig eller ringa betydelse för myndighetens verksamhet. Vad som är av sådan beskaffenhet kan exempelvis vara spam. Det är svårt att avgöra om förutsättningarna är uppfyllda baserat på given information. Det spelar dock ingen roll - även om de har gallrats felaktigt har myndigheten bara en principiell skyldighet att återuppväcka sådant som finns på säkerhetskopior, se HFD mål SÄkerhetskopior är enligt 2:10 2 st TF undantagna som allmänna handlingar. NOtera dock att det måste röra sig om en verklig säkerhetskopia - en back up på enskild tjänstemans hårddisk inte tillräckligt utan det måste röra sig om en mer genomgripande säkerhetslösning. Hälsan vill vidare få ut handlingar i digital form med hänvisning till PSI-lagen. PSI-lagen gäller för vidareutnyttjande av sådana handlingar som tillhandahålls av statliga och kommunala myndigheter, 2 1 st. Med handlingar avses enligt 6 sådana handlingar som avses i 2:3 1 st TF. Det ska påpekas att PSI inte förutsätter att det rör sig om allmänna handlingar. PSI kan nämligen även gå "bortom" TF i det att även om exempelvis en sammanställning av uppgifter ur upptagning för automatiserad behandling inte kan göras tillgänglig mha rutinbetonade åtgärder (2:3 2 st TF) kan myndigheten ändå med stöd av PSI och i kraft av sitt upprag anse att sådant ändå bör tillgängliggöras. PSI-lagen ger förvisso inte i sig ger rätt till tillgång till handlingar, se 1 3 st, men kan alltså ändå komma att få viss självständig betydelse i detta avseende. Vidare kan det påstås att när ett utlämnande begärs elektroniskt så hamnar man utanför ramen för TF eftersom TF inte ger en rätt att utfå handlingar elektroniskt (2:13). Men - om det rör sig om handlingar som kan lämnas ut enligt TF förutsätter utlämnandet att detta också är förenligt med TF. Myndigheten nekar elektroniskt utlämnande med hänvisning till att man inte har öppna data då allt omfattas av sekretess, integritetsskydd eller trejde mans upphovsrätt. Med "öppna data" förstås att informationen ska vara helt fri att använda, inga licenser, vem som helst får använda, distribuera, informationen. Det är alltså så som jag förstår det inte samma sak som att få ut något i elektroniskt format. Myndigheten bör enligt PSI lämna ut informationen i maskinläsbart format, inklusive metadata och helst i standardiserat format. Det är nämligen så att information som myndigheten tillgngliggör enligt PSI kan omfattas av dess egna sekretess, och då kan man som villkor för detta utnyttjande uppställa villkoret att en licens måste användas (8 PSI). Då är det inte fråga om öppna data men väl information i elektroniskt format. Att något omfattas av sekretess är dock en grund för att inte lämna ut något enligt PSI, se 3 1 p. Det kan dock ifrågasättas huruvida vekrligen "allt" omfattas av sekretess - såvida det inte rör sig om en absolut sekretess måste alltid en prövnng göras i det enskilda fallet. Vad gäller integritetsskydd kan detta också i och för sig innebära att handlingen inte får utlämnas då PSI inte inskränker PuL. Även i detta fall måste dock en bedömning göras i det enskilda fallet. För det första måste myndighetens utlämnande i detta hänseende vara förenligt med det ändamål för vilka personuppgifterna samlades in, se 9 d. "Förenligt" indikerar att ett visst utrymme för "nya" ändamål godtas - här kan man kanske argumentera för att folk känner till att offentlighetsprincipen råder och att man måste räkna med att uppgifterna lämnas ut och vidareutnyttjas (jmf DI:s beslut s. 231 i boken om vad man hypotetisk måste förstås). Vidare kan även integritetsskyddet aktualisera sekretess, enligt 21:7 OSL får nämligen uppgift inte lämnas ut om det kan antas att ett utlämnande skulle emdföra att uppgiften behandlas i strid med PuL. Här måste man alltså göra en prognos av vidareutnyttjandet. Vad slutligen gäller invändningen om tredje mans upphovsrätt kan konstateras att i sådant fall gäller inte PSI-lagen enligt 3 p 7.

8 8 RINF VT16 em I den sista situationen önskar Hälsan utfå generaldirektörens ingående och utgående e-post den senaste månaden men nekas även etta med mtotiveringen att meddelandena ännu inte är omhändertagna för arkivering. Ineldnigsvis ska sägs att e-post som utgångspunkt kan utgöra en allmän handling enligt 2:3 1 st - det är en upptagning som kan uppfattas endst mha tekniskt hjälpmedel. Den förvaras hos myndigheten enligt 2:3 2 st (tillgänglig för myndigheten mha tekniskt hjälpmedel som myndigheten själv utnyttjar) och är antingen som utgångspunkt inkommen till mydngiheten enligt 2:6 när annan gjort den tillgänglig för myndigheten på så sätt som anges i 3 2 st. Mailen är upprättade när de expedieras enligt 2:7 1 st 1 men - notera dock att detta ej inbegriper e-post mellan tjänstemän inom en myndighet, se HFD 2013 ref. 86. Vissa mail kan dock vara undantagna från området allmänna handlingar om de exempelvis utgör privata meddelenan, se 2:4. Att "meddelandena ännu inte är omhändertgana för arkivering" antyder att myndigheten gör gällande att mailen utgör mellanprodukter enligt 2:9 2 st och skulle därför ännu inte vara allmänna handlingar. Till den del detta stämmer uttalades i RÅ 1999 ref 36 att det förhållandet att ställning ej ännu tagits till vilka handlingar som ska tas om hand för arkivering ej bör begränsa möjligheten att utfå sådan handling enligt 2:9 2 st. I ett sådant fall handlingen begärs utlämnad måste myndigheten omedelbart ta ställning till arikveringsfrågan som ett led i prövningen av frågan om utlämnande av handlingen. Vad gäller Hälsans begäran att med stöd i TF utfå handlingar och då detta nekas kan detta överklagas enligt 6:7 OSL. Poäng: 9 Kommentar: 3. Fråga 3 Den lilla myndigheten Transitverket arbetar med samordning och utförande av myndigheters behov av specifika transporter. Det omfattar både materialtransporter och persontransporter. Transitverket ser för närvarande över sin IT-miljö och från IT och verksamhetsledningen är man framförallt osäkra på vilka utmaningar som finns gällande de rättsliga parametrarna. Transitverket har bland annat ett system, Tryggve, som hanterar administration kring transporter. I systemet finns all tänkbar information tillgänglig som är relevant för lämpligt val av transport. Exempelvis information om olika transportklasser och om samtliga individer inom statsapparaten som är berättigade till persontransporter av olika slag. Informationen kan exempelvis röra adressuppgifter, befattningsinformation och särskilda behov ur medicinskt syfte. Systemet Tryggve är utvecklat av en extern konsultfirma som är på plats ett par gånger i månaden. Konsulterna från konsultfirman har access till systemet, både hos myndigheten och på distans.

9 RINF VT16 em Transitverkets personal består huvudsakligen av transporthandläggare som registrerar och hanterar transportbeställningar, annan administrativ personal och chaufförer. Av enkelhetsskäl har samtliga på myndigheten åtkomst till Tryggve eftersom alla i någon mån anses vara inblandade i transportfunktionen. Chaufförerna har även tillgång till systemet genom sina mobiltelefoner. Både konsultfirman och anställda på transportenheten loggar in i Tryggve med självvalt användarnamn och lösenord, men både användarnamn och lösenord måste bestå av minst tio tecken av blandad karaktär. Tryggve uppfattas av användarna på Transitverket som rätt slutet såtillvida att användarna inte alltid riktigt förstår vad som händer i det. Bland annat har det vid ett par tillfällen skickats ut felaktiga transportfordon. Men vid stickprovskontroller som gjordes i samband med att systemet infördes ett par år tidigare har man inte kunnat konstatera några märkligheter. Man vänder sig nu till dig i egenskap av verksjurist vid myndigheten och ber om en kortfattad rättsutredning beträffande eventuella informationssäkerhetsrättsliga utmaningar avseende Tryggve. Man undrar vidare om det finns några rättsliga krav på informationssäkerhetsrelaterade organisatoriska åtgärder som behöver iakttas med tanke på den verksamhet som bedrivs. Svar: Vad inledningsvis gäller systemet Tryggve innehåller det bla personuppgifter. Det gör att PuL aktualiseras. Lagen är tillämplig då det rör sig om en personuppgiftsansvarig (enligt definitionen i 3 ) ebtalberad i Sverige, 4. Det rör sig om automatiserad behandlng av pesonuppgifter (såsom definierat i 3 ) eftesom det handlar om ett digitalt system. Inget undantag är tillämpligt (notera särskilt att 5 a missbruksregeln inte kan aktualsiera då det förfaller röra sig om någon typ av avancerat ärendesystem). Nästa fråga är om behandlngen är tillåten. Först och främst måste 9 och 10 vara uppfyllda. Låt oss utgå från att 9 är uppfyllld då det enligt frågan anges att ifnormationen är relevant och jag inte finner ett uppenbart skäl att ifrågasätta detta. Enligt 10 är behanldingen tillåten om samtycke föreligger eller om annan rättslig grund finns. Om samtycke vet vi ingenting. Troligen aktualiseras 10 f) intresseavvägningen. Eftersom informationen behövs för att kunan utföra den transport som myndigheten arbetar med måste detta anses vara ett berättigat intresse. Jag utgår från att avvägningen enligt 10 f) utfaller till mydngiehtens fördel. Vi måste dock observera att det även finns en känslig uppgift med här - nämligen den om medicin (13 2 st, en uppgift om hälsa). För att denna ska vara okej att behandla krävs att någon av ebstämmelserna är tillämplig. Om samtycke vet vi ingenting, 15. Inget undantag förefaller vara aktuellt. Förutsatt att samtycke inte lämnat borde behanldingen av information rörande behov ur medicinskt syfte inte vara okej att behandla. En extern konsultfirma har byggt ut systemet vilket aktualiserar frågan om sekretess härvid bryts. Adressuppgifter borde exempelvis som utgångspunkt vara sekretessbelagda, men vanligen med en sådant skaderekvisit som innebär presumtion för offenltighet. Hur som helst - detta måste utredas. För att myndigheten inte ska göra sig skyldig till brott mot OSL kan därför olika lösningar tänkas. Om det rör sig om ett svagt sekretesskydd kan uppgifterna antagligen utlämnas om exempelvis den externa konsultfirman skriver under ett sekretessavtal. En annan åtgärd kan vara att begränsa tillgången till informationen så att endast de på konsultfirman som verkligen behöver infomrationen också har tillgång till den. Det framgår vidare att konsultfirman har

10 10 RINF VT16 em access till systemet, bla på distans. Denna typ av direktåtkomst föranleder särskilda åtgärder. Enligt 31 pul har myndigheten här till uppgift att vidta de organisatoriska och tekniska säkerhetsåtgärder som är nödvändiga för att skydda personuppgifterna. Vilka åtgärder som bedöms nödvändiga får bedömas utifrån en riskanalys. Här borde myndigheten därför tillse att exempelvis som en teknisk åtgärd att bara behöriga på firman har åtkomst till uppgifterna, såsom också har gjorts genom lösenordsanvändningarna. Om Det framgår vidare att samtliga på myndigheten har åtkomst till Tryggve. Detta kan inet anses godtagbart om det inte faktiskt är så att alla anställda måste kunan använda samtliga uppgifter. Av 31 PuL följer som sagt att mydnigheten måste vidta lämpliga säkerhetsåtgärder. Som ett led i detta bör naturligtvis endast de personer som behöver ha åtkomst till uppgifterna ha detta. Övriga personer ska inte ha det. Detta måste säkerställas genom tekniska åtgärder som gör att obehöriga inte når tillgången och genom adiminstrativa åtgärder såsom att exempelvis upprätta en policy och informera de anställda om vad som gäller (exempelvis att det inte är tillåtet attsom behörig person ge åtkomst till en icke behörig person). Vidare kan det vara så att alla anställda i och för sig har användning av alla uppgifter men kanske inte hela tiden. Då bör man endast kunna nå uppgifterna när man verkligen behöver dem - exempelvis genom att ange någon slags ärendekod vid sökning på uppgifterna. Man har valt att använda lösenord och användarnamn som en säkerhetsåtgärd för att endast anställda och de på firman har åtkomst till uppgifterna. Detta är en teknisk åtgärd. Frågan om denna är tillräcklig eller om mer omfattande lösningar behövs (ex identifiering genom elektronisk signatur) måste göras utifrån en säkerhetsanalays. Förutom uppgiften om behoven ur medicinskt syfte (som troligen inte får behandlas!) rör det sig inte om i sig integritetskänsliga uppgifter, varför som utågngspunkt en lägre nivå på skyddsåtgärder kan godtas. Ytterligare ett problem har vi med att chaufförerna har tillgång till systemet via sina mobiltelefoner. Digitala bärbara enheter av detta slag föranleder särskilda problem ur säkerhetssynpunkt. Här bör ytterligare åtgärder vidtas. En åtgärd bör vara att införa automatisk låsning efter viss tids inaktivitet, detta för att förhindra att obehöriga får tillgång till informationen. Vidare bör det övervägas om man ska ha möjlighet att distansradera information, även detta för att säkerställa att om mobilen kommer i orätta händer så ska dessa inte få tillgång till informationen. Vidare bör det införas administrativa åtgärder i form av att informera om exempelvis vilka appar som är tillåtn att ladda ner - appar kan nämligen innebära att mobilen utsätts för fler risker än vad som annars är fallet. Det bör även säkerställas att informationen inte av misstag lagras/kopieras i en molntjänst eftersom det kan få till följd att informationen sprids till obehöriga. Centrala styrkning av säkerhetsinställningar kan också förordas, återigen för att säkerställa att informationen skyddas även om mobilen kommer på villovägar. Genom att använda sina privata (utgår jag ifrån) mobiler i tjänsten kan det även bli svårt att hålla isär det som är ens privata och det som tillhör tjänsten. Detta kan göra att det blir svårt för personuppgiftsansvarig att fullgöra sina skyldigheter utan att inkräkta på den enskildes integritet. Det bör därför säkerställas att teknisk åtgärd gör att det enkelt går att skilja mellan dessa två verksamheter i mobilen. Vad vidare gäller situationen med att användarna inte ritkigt förstår sig på systemet ska följande sägas. Det antyds att programmet är felaktigt eftersom det skickat ut felaktiga transportfordon. Fråga är vad myndigheten bör göra åt detta. Av rättssäkerhetsskäl bör givetvis

11 RINF VT16 em tillse att det system det tillämpar är korrekt och bör vid misstanke om att så inte är fallet ta initiativ till att kontrollera detta, vilket även har gjorts vid stickprovskontroller. Det framgår att det bara vid "ett par tillfällen" har skickats ut felaktiga fordon vilket antyder att inte hela programmet är felaktigt utan troligen enbart utifrån vissa aspekter. Viss programinstruktion borde ha blivit felaktig. Det bör åligga myndigheten att närmare utreda i vilka fall det har blivit fel och åtgärda detta. Eftersom det rör sig om en myndighet som utför tjänster år andra myndigheter bör inte överklagande från användarna komma ifråga - staten kan väl knappast överklaga beslut "från sig själv". Poäng: 7 Kommentar: