Datum Diarienr 2009-06-23 1740-2008 Statens Pensionsverk 851 90 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Statens Pensionsverk, SPV Datainspektionens beslut SPV föreläggs att komma in med en skriftlig åtgärdsplan i vilken verket ska ange vilka åtgärder man avser vidta för att begränsa åtkomsten till skyddade personuppgifter i det äldre verksamhetssystemet. Åtgärdsplanen ska också ange när begränsningarna kommer att vara införda. Åtgärdsplanen ska vara oss tillhanda senast den 15 oktober 2009. SPV föreläggs därutöver att inrätta behandlingshistorik (loggar) för sina verksamhetssystem. SPV föreläggs vidare att genomföra logguppföljningar. Logguppföljningarna ska vara systematiska och återkommande. Uppföljningarna ska ske i syfte att förebygga, upptäcka och beivra olovlig åtkomst till personuppgifter i verksamhetssystemen. Åtkomsten till skyddade personuppgifter ska särskilt följas upp. SPV föreläggs även att inrätta tydliga och verksamhetsanpassade rutiner kring de kommande loggarna och logguppföljningen samt se till att användarna på ett tydligt sätt informeras om förekomsten av dessa. SPV ska redogöra för de överväganden som ligger bakom den kommande utformningen av dels loggarna, dels logguppföljningen. SPV ska senast den 15 oktober 2009 redovisa en uppskattning av när detta arbete kan tänkas vara klart. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Sammanfattning SPV föreläggs att vidta åtgärder enligt ovan. Datainspektionen förutsätter också att SPV Överväger om åtkomsten till personuppgifter generellt sett bör begränsas. Vidtar åtgärder för att avskilja avslutade ärenden från de handläggarstöd som används i den dagliga löpande verksamheten. Har rutiner för incidenthantering rörande skyddade personuppgifter. Ser till att det som sägs under utbildningarna också finns att tillgå i skriftlig form. Följer upp utbildningar som hålls om informationssäkerhet. Uppdaterar befintlig information allteftersom systemen utvecklas. Redogörelse för tillsynsärendet Inspektionen Datainspektionen genomförde den 3 februari 2009 en inspektion av SPV:s personuppgiftsbehandling. Vid inspektionen granskade Datainspektionen i huvudsak rutiner för behörighetsstyrning, rutiner för behandlingshistorik/loggar och åtkomstkontroll/logguppföljning samt omfattningen av anställdas åtkomst till inskannat material i elektroniska ärendehanteringssystem. Skäl för beslutet Tillämplig lagstiftning Informationssäkerhet är en viktig del av skyddet för den personliga integriteten. Personuppgiftslagen, PuL, är tillämplig på den personuppgiftsbehandling som genomförs hos SPV. Av 30 PuL framgår att den som arbetar under den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Enligt 31 PuL ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av: de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och Sida 2 av 13
hur pass känsliga de behandlade personuppgifterna är. Allmänt om SPV och dess IT-system SPV har ca 340 anställda, samtliga i Sundsvall. Myndigheten anlitar också ett antal konsulter som varierar över tid. Kundpensionsenheten är myndighetens största enhet med ca 190 personer. Enheten arbetar med kärnverksamheten och är indelad i sektioner och sektionerna är indelade i grupper. Pensionshandläggarnas arbetsuppgifter skiljer sig inte åt mellan sektionerna. SPV har uppgett att ett LIS-arbete pågår och att allt informationssäkerhetsarbete utgår ifrån LIS. SPV har uppgett att de personuppgifter som finns i systemen är allmänna uppgifter och anses inte ha ett högt skyddsvärde ur integritetshänseende. Omkring 250 personer använder sig av SPV:s verksamhetssystem. SPV behandlar personuppgifter om omkring 500 000 personer. Handläggarnas arbete styrs av att det finns två avtalsformer PA03 och det äldre avtalet PA91. En handläggare behöver ha tre fönster öppna för att kunna arbeta med pensionsadministration: ett för PA91, ett för PA03 och ett för ärendehanteringssystemet och pensionsdiariet i W3D3. Applikationen Min- Arbetsplats används vid arbete som rör avtalet PA03. Vid arbete som rör det äldre avtalet PA91 används en äldre applikation, under inspektionen benämnd 3270. Grunddata, så som arbetstid och löneuppgifter, som handläggarna behöver för att kunna utföra beräkningar hämtas från Stordatorn, ur databaserna GRU eller Mareg (Matrikelregistret som är en äldre databas). Sedan november 2008 har SPV använt sig av ett IT-system som heter W3D3. Det innehåller ett ärendehanteringssystem och två diarier. Där finns det allmänna diariet. Alla kan inte komma åt det allmänna diariet och det skannas inte in några handlingar i det. Ärenden registreras i pensionsdiariet. Där går det endast att använda personnummer som sökbegrepp. Det går alltså inte att göra sammanställningar och ta ut listor över en viss grupp, t.ex. alla poliser. SPV har uppgett att det inte förekommer några känsliga personuppgifter enligt 13 personuppgiftslagen i systemen. Behörighetskontrollsystemets utformning Behörighetstilldelningen sker i det webbaserade beställningssystemet BeVis. Tilldelningen är inte rollbaserad utan individbaserad. Tilldelningen i BeVis sker inte på databasnivå utan är upplagd på applikationer. Det finns olika typer av behörigheter, t.ex. läs-, ändring- och registreringsbehörighet. Det gäller både i MinArbetsplats och i W3D3. Sida 3 av 13
Anställda som enbart sitter i kundcenter har bara läsbehörighet. Alla handläggare handlägger ärenden och svarar i telefon. Därför kan alla titta på alla ärenden. När chefen gör bedömningen att en handläggare har tillräcklig erfarenhet kan handläggaren få börja bereda ärenden, men det är en erfaren handläggare med behörighet att uppdatera ärenden som sedan beslutar i ärendet. Det krävs ofta två personer för att kunna godkänna ett ärende. Det finns primära och sekundära godkännare. En handläggare kan föreslå en ändring sedan skickas ärendet automatiskt till en annan handläggare som måste godkänna ändringen. Pensionsbeslut skrivs i Word-dokument som sedan skannas in. Dokument- och ärendehanteringssystem innehåller stora mängder personrelaterad information. En grundläggande princip är att anställda inom en myndighet endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Detta gäller även om uppgifterna är offentliga. Behovet av åtkomst varierar naturligtvis beroende på myndighetens verksamhetsområde och den anställdes arbetsuppgifter. För att begränsa den elektroniska tillgången ska myndigheten ha ett system för behörighetsstyrning. Med hjälp av detta bör åtkomstmöjligheterna tekniskt begränsas så mycket som det är faktiskt och praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna. Därutöver ska myndigheten begränsa obehörig åtkomst genom fungerande rutiner, t.ex. arbetsrutiner, rutiner för utbildning och information till anställda samt rutiner för åtkomstkontroll. Behörighetskontrollsystemets utformning medger att en handläggare träder utanför sin befogenhet (se mer nedan under rubriken Information och utbildning ). En användare kan alltså ta del av fler personuppgifter än hon eller han behöver för att utföra sina arbetsuppgifter. Detta är inte tillfredsställande. Under den introduktionsutbildning som anställda genomgår får de visserligen förklarat för sig att deras befogenhet att ta del av uppgifter är mindre än vad den tilldelade tekniska behörigheten tillåter samt vilka konsekvenserna blir efter ett överskridande. Risken för att användare begår dataintrång ökar med ett system utformat som detta. Även sett ur ett integritetsskyddsperspektiv är den nuvarande utformningen av behörighetskontrollsystemet bristfällig. Risken för s.k. ändamålsglidning är stor om användare har en vid teknisk behörighet i ett verksamhetssystem. Sida 4 av 13
Personuppgifter kan komma att användas för andra ändamål än det de var avsedda för vilket i sin tur kan strida mot PuL. Med anledning av att SPV uppgett att det inte förekommer några känsliga personuppgifter enligt 13 PuL i systemet vill vi anföra följande. Inom SPV handläggs ärenden enligt avtalet PA-03. I bl.a. SPV:s årsredovisning för år 2008 beskrivs PA-03 som ett Statligt tjänstepensionsavtal som reglerar ålderspensioner, sjukpensioner och efterlevandepensioner. En uppgift om att en person är sjuk är, alldeles oavsett om symtom eller diagnos anges, en känslig personuppgift i PuL:s mening. En sådan uppgift rör nämligen hälsa. I en dom från EG-domstolen har det slagits fast att en uppgift om att en person skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa (dom den 6 november 2003 i mål C-101/01, REG 2003 s. I-12971, se också RH 2004:51). Handläggningen av ärenden rörande sjukpension enligt PA-03 synes kräva uppgifter om perioder av sjukfrånvaro rörande enskilda. Det ligger därför nära till hands att anta att uppgifter som rör hälsa - och som följaktligen skulle kunna definieras som känsliga personuppgifter enligt PuL - kan förekomma i SPV:s verksamhetssystem. Detta gäller även om uppgifterna om sjukfrånvaro förekommer i form av exempelvis en kodbeteckning, men kan hänföras till en individ. Att sådana uppgifter kan förekomma i SPV:s verksamhetssystem har betydelse för bedömningar rörande exempelvis säkerhetsåtgärderna kring hanteringen av personuppgifterna. Vilken elektronisk tillgång till personuppgifter som en enskild handläggare behöver för att kunna fullgöra sina arbetsuppgifter är naturligtvis i första hand upp till SPV att bedöma. Det har exempelvis kommit fram att alla handläggare handlägger ärenden och svarar i telefon. Därför kan alla titta på alla ärenden. Ett sådant upplägg medför integritetsrisker. Å andra sidan har SPV upplyst att inom den största enheten - som sysslar med kärnverksamheten - så skiljer sig inte handläggarnas arbete åt mellan sektionerna. Men det finns, trots allt, fler enheter inom SPV och frågan är om handläggare där har tillgång till uppgifter de egentligen inte behöver ha tillgång till för att utföra sina arbetsuppgifter. Endast information under utbildningstillfällen är ensamt inte en tillräcklig säkerhetsåtgärd, sett ur ett integritetsskyddsperspektiv. Det kan finnas skäl att generellt sett begränsa åtkomsten till personuppgifter. Detta är något som SPV måste överväga. Om det inte är möjligt att införa tekniska begränsningar så är det än viktigare att SPV på andra sätt aktivt arbetar för Sida 5 av 13
att minska riskerna för otillbörlig åtkomst av personuppgifter som handläggare inte behöver för utförandet av sina arbetsuppgifter. Åtkomst till inskannat material Sedan 1997 finns alla handlingar som kommit in i ett ärende inskannade i befintligt skick som Tiff-bilder. Handlingar länkas till det personnummer som handlingarna avser. Handläggarna kan också skriva Word-dokument och länka till ärendet. Allt som kommer in i ett ärende, förutom läkarintyg och dylikt, skannas in av registratorerna. Dessa typer av handlingar läggs in i ett särskilt kassaskåp. Inskannade handlingar är inte sökbara. Det går bara att söka genom att ange personnummer. När man har sökt reda på en viss person går det att titta på samtliga inskannade dokument som finns kopplade till den personen. Alla handläggare kan söka på alla personer. Rutinen att tydligt avskilja läkarintyg från det material som skannas in är betryggande ur integritetsskyddshänseende. Det är också bra att det inte går att obegränsat söka bland de handlingar som kommit in utan den enskilde handläggaren måste veta den registrerades personnummer. Detta minskar risken för att kunna göra integritetskänsliga sammanställningar av individer. Vi har inget att erinra i denna del. Åtkomst till historiskt material Ärenden är inaktiva i och med att någon ska gå i pension och får ett pensionsbeslut skickat till sig. Då går ärendet in i utbetalningssystemet. I dag ligger all information i inaktiva ärenden kvar. Handläggarna kan utan begränsningar ta del av informationen i inaktiva ärenden. Myndigheten är skyldig att spara uppgifterna, bl.a. för forskningssyften. SPV har uppgett att man framöver förmodligen kommer att placera äldre uppgifter i en historikdatabas. Även om en myndighet enligt arkivlagen ska arkivera handlingar bör tillgången till handlingarna begränsas. Det är inte lämpligt om systemet gör det möjligt med obegränsade sökningar bland alla inskannade/elektroniska handlingar som finns hos myndigheten. När myndigheten arkiverar handlingar bör de avskiljas från det dokument- och ärendehanteringssystem som används i den dagliga verksamheten. Om arkiveringsfunktionen ingår i samma system, bör systemet innehålla tekniska avgränsningar. Det är inte förenligt med PuL att, som SPV gör, låta ärenden som är avslutade ligga kvar i handläggarstöden, åtkomliga på samma sätt som aktiva Sida 6 av 13
ärenden. SPV har uppgett att man förmodligen kommer att placera äldre uppgifter i en historikdatabas. Detta ser vi som en önskvärd utveckling. SPV bör alltså vidta åtgärder för att avskilja avslutade ärenden från de handläggarstöd som används i den dagliga löpande verksamheten. Åtkomst till skyddade personuppgifter Det finns sekretessmarkeringar i systemen vid personer som har skyddade personuppgifter. Sekretessmarkeringarna tas idag från Skatteverket. Gällande de nya systemen är det sex personer, varav tre är handläggare, som kan se skyddade personuppgifter i systemen. Ärenden från personer med skyddade personuppgifter går direkt till personer med behörighet att handlägga sådana ärenden. Om en handläggare utan behörighet knappar in ett personnummer till en person med skyddade personuppgifter visas ett meddelande om att uppgifterna är belagda med sekretess. I det äldre systemet är skyddade personuppgifter markerade, men alla handläggare kan se de skyddade personuppgifterna. För att obehöriga inte ska komma åt skyddade personuppgifter är det bland annat viktigt att det vid myndigheter finns spärrmarkeringar som syns tydligt vid sökningar i register, att all personal som hanterar personuppgifter ges grundlig information om skyddade personuppgifter och sekretessfrågor, att kretsen av personer som har tillgång till skyddade personuppgifter begränsas så mycket som möjligt, att skyddade personuppgifter inte sprids till områden där sekretess för uppgifterna inte föreligger och att myndigheten regelbundet följer upp att regler och rutiner kring skyddade personuppgifter efterlevs och respekteras. 7 kap. 15 första stycket sekretesslagen (SekrL) säger bl.a. att sekretess gäller i verksamhet som avser folkbokföringen eller annan liknande registrering av befolkningen och, i den utsträckning regeringen föreskriver det, i annan verksamhet som avser registrering av betydande del av befolkningen för uppgift om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Med stöd av 7 kap. 15 SekrL föreskriver 1 b i sekretess-förordningen (SekrF) att sekretess gäller i angiven verksamhet, som avser registrering av betydande del av befolkningen, däribland SPV:s pensionsregister. SPV har uppgivit att det i dagsläget är sex personer som kan se skyddade personuppgifter i de nya systemen. Ärenden med sådana uppgifter går direkt till Sida 7 av 13
personer med behörighet att handlägga sådana ärenden. Det är en god rutin som vi inte har något att erinra emot. De skyddade personuppgifterna som nämns i ärendet faller såvitt framkommit - fortfarande under den aktuella sekretessen. Datainspektionens inställning är att antalet handläggare som hanterar skyddade personuppgifter ska hållas till ett minimum. Den ordning som råder kring skyddade personuppgifter i SPV:s äldre verksamhetssystem är oacceptabel. Kretsen av personer som som har åtkomst till skyddade personuppgifter i det äldre systemet måste begränsas. SPV föreläggs därför att komma in med en skriftlig åtgärdsplan i vilken verket ska ange vilka åtgärder man avser vidta för att begränsa åtkomsten till skyddade personuppgifter i det äldre verksamhetssystemet. Åtgärdsplanen ska också ange när begränsningarna kommer att vara införda. Dessutom ska SPV inrätta en behandlingshistorik (logg) för sina verksamhetssystem, något som saknas i dagsläget. Mot bakgrund av vad som sagts ovan rörande samtliga handläggares tillgång till skyddade personuppgifter som finns i det äldre systemet ska SPV också genomföra uppföljning av loggarna i verksamhetssystemen (se vidare under rubriken Behandlingshistorik och åtkomstkontroll ). I övrigt förutsätter vi att SPV har rutiner för att hantera eventuella incidenter rörande skyddade personuppgifter. Rutiner för tilldelning/ändring/borttagning av behörigheter Det är den anställdes chef som ansvarar för att tilldelade behörigheter är riktiga. Alla sektions- och enhetschefer har rätt att beställa behörigheter. Det webbaserade beställningssystemet BeVis administrerar och skapar spårbarhet i behörighetsbeställningar. BeVis finns tillgängligt på Intranätet. Den beställande chefen skickar en beställning via e-post. Systemansvarig tar emot beställningen och godkänner behörighetstilldelningen. Om den systemansvarige inte förstår behörighetsbegäran tas kontakt med den beställande chefen och behovet av behörigheten efterfrågas. När en behörighetsbeställning godkänts skickas det automatiskt ett e-postmeddelande i en VPN-förbindelse från BeVis till Tieto som utför behörighetstilldelningen. Den beställande chefen får ett e-postmeddelande när beställningen är utförd. Uppgifter om vad som utförs dokumenteras dels i BeVis och dels hos Tieto. Vid tilldelning anges i många fall en viss tid för behörighetens giltighet i stället för att behörigheten ska gälla tills vidare. Det gör att det sker en regel- Sida 8 av 13
bunden kontroll av behörigheterna som antingen måste förlängas eller tas bort. När en tidsbegränsad behörighet går ut, skickas ett e-postmeddelande till chefen med en förfrågan om personens behörigheter ska avslutas eller förlängas. Chefen måste förlänga varje behörighet för sig för en och samma person. Rutinerna för förändring och borttagning av behörigheter går till på samma sätt som vid tilldelning. Det finns en lista som beskriver allt en chef ska göra när en anställd slutar. Där anges bl.a. att han ska gå in i BeVis och avbeställa personens behörigheter. En översyn av behörigheterna sker på enhetsnivå. Under 2009 ska det påbörjas en förstudie för införande av ett identitets- och behörighetsadministrationssystem som hanterar hela flödet från det att en anställd börjar till dess att den slutar. Som Datainspektionen anför i sina allmänna råd Säkerhet för personuppgifter bör det finnas rutiner för tilldelning och kontroll av behörigheter. På myndigheter som SPV, som behandlar många personuppgifter och har många systemanvändare, är det enligt Datainspektionens mening nödvändigt att det finns sådana rutiner. De för SPV verksamhetsspecifika rutiner som omger tilldelning, ändring och borttagning av behörigheter är enligt vår bedömning goda. Det sker exempelvis en regelbunden kontroll av behörigheterna. Något som skapar förutsättningar för en nödvändig överblick över eventuellt överflödiga behörigheter som kan finnas i systemet och utnyttjas obehörigt. Vi har inget att erinra i denna del. Behandlingshistorik (loggar) och åtkomstkontroll (logguppföljning) SPV har i yttrande över inspektionsprotokollet uppgett att man inte kan presentera en logg från vem som gjort vad i verksamhetssystemet. Alla ändringar i systemet lagras, dock finns det inte lagrat vilken person som gjort ändringen. Det finns en felsökningslogg som slås på under viss vidareutveckling /felsökning av systemet. Där lagras allt. Tyvärr tar denna loggning så mycket prestanda så att den nästan alltid är avslagen. SPV har uppgett att det inte finns någon nedskriven rutin för åtkomstkontroll. Åtkomsthistorik i applikationen har kontrollerats på förekommen anledning, exempelvis när en anställd misstänktes för att i privat syfte ha tagit fram inkomstuppgifter om två personer ur en databas. Det genomförs inga syste- Sida 9 av 13
matiska och återkommande kontroller av loggar för att se om obehörig åtkomst till uppgifter förekommit. I yttrande över inspektionsprotokollet har SPV uppgivit att det inte finns någon skriftlig dokumentation till anställda om åtkomstkontroll. SPV:s anställda har fått information om att åtkomstkontroller görs på förekommen anledning i övertygelsen att sådana åtkomstkontroller kunde göras. Av Datainspektionens allmänna råd framgår det att för att åtkomsten ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik (loggar) som sparas en viss tid. En behandlingshistorik bör följas upp och skyddas mot otillåtna ändringar. En behandlingshistorik bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Behandlingshistoriken bör, beroende på känsligheten hos personuppgifterna, ange till exempel läsning, ändring, utplåning eller kopiering av personuppgifter. En behandlingshistorik bör inte utformas eller utnyttjas så att den medför risk för intrång i personalens integritet. Under avsnittet Behörighetskontrollsystemets utformning ovan har det redogjorts för att systemet medger att en handläggare träder över sin befogenhet. SPV:s verksamhetssystem har alltså en vidare teknisk behörighet i förhållande till vilka uppgifter användarna av systemet har tillåtelse att ta del av. Det har dessutom under avsnittet Åtkomst till skyddade personuppgifter kommit fram att i det äldre systemet kan alla handläggare se de skyddade personuppgifter som förekommer där. Skyddet för de registrerades personliga integritet kan inte upprätthållas till fullo vid SPV om det inte finns en fungerande logg samt en systematisk och återkommande logguppföljning. Detta gäller särskilt avseende de registrerade vars skyddade personuppgifter kan ses av samtliga SPV:s anställda som använder det äldre systemet. SPV föreläggs därför dels att inrätta fungerande och verksamhetsanpassade loggar, dels genomföra logguppföljning. Logguppföljningen ska vara systematiska och återkommande. Uppföljningen ska ske i syfte att förebygga, upptäcka och beivra olovlig åtkomst till personuppgifter i verksamhetssystemen. Åtkomsten till skyddade personuppgifter ska särskilt följas upp. Sida 10 av 13
Det räcker i detta fall alltså inte med den åtkomsthistorik i applikationen som SPV har visat och beskrivit vid inspektionstillfället. Det måste finnas en central logg och en logguppföljning kopplad till den. Det är av grundläggande betydelse att uppföljningen av loggarna blir verkningsfull. För att detta ska kunna ske måste SPV noggrant definiera de urvalskriterier som ska användas för logguppföljningen. Redan existensen av en logg har en förebyggande funktion när det gäller risken för obehörig användning av personuppgifter. Men en förutsättning för det är att användarna informeras om att det förs en logg och att uppföljningar görs av denna. Loggningen - och uppföljningen - ska genomföras så att intrånget i personalens integritet blir så litet som möjligt. En väg mot det är tydliga rutiner kring vem som får begära uttag ur loggarna samt under vilka förutsättningar detta får ske. Det måste också finnas rutiner för att säkra att det faktiska logguttaget efter en behörig begäran inte blir för omfattande. Behandlingen av loggarna ska följa PuL:s regler och endast avse uppgifter som är adekvata och relevanta i förhållande till ändamålet med logguttaget. SPV föreläggs också att inrätta rutiner kring den kommande loggen och logguppföljningen samt se till att användarna på ett tydligt sätt informeras om förekomsten av dessa. SPV ska redogöra för de överväganden som ligger bakom den kommande utformningen av dels loggarna, dels logguppföljningen. Dessutom ska SPV redovisa en uppskattning av när detta arbete kan tänkas vara klart. Information och utbildning SPV har uppgett att alla nyanställda får en introduktionsutbildning, där säkerhetsfrågor tar cirka en timme. Det hålls också särskilda utbildningar för nyanställda. Dessa avlutas med utfärdande av ett intyg. Informationen till nyanställda innehåller uppgift om vilka befogenheter anställda har att ta del av uppgifter i SPV:s system och att denna befogenhet är begränsad till de uppgifter de behöver för att kunna utföra sitt arbete på SPV. Det informeras om att denna befogenhet är mindre än vad den tilldelade tekniska behörigheten omfattar. Informationen omfattar även att överskridande av befogenheten innebär att man gör sig skyldig till dataintrång samt vilka konsekvenser det kan få. Användare instrueras även att inte titta på uppgifter om sig själva. Information ges endast muntligen under utbildningen. Denna information finns inte att tillgå i skriftlig form. De skriftliga instruktioner som finns, finns i en före- Sida 11 av 13
skrift om tilldelning av behörighet samt i informationssäkerhetspolicyn. Dokumenten finns tillgängliga för anställda på intranätet. Informationssäkerhetspolicyn är från år 2000 men uppdaterades år 2004. Det måste finnas tydliga instruktioner som anger under vilka förutsättningar myndighetens anställda får ta del av personuppgifter. Instruktionerna bör vara skriftliga och finnas allmänt tillgängliga för anställda, t.ex. på intranätet. Myndigheten bör också se till att alla som har tillgång till personuppgifter får relevant utbildning. Genom att ge de anställda en klar uppfattning om, vad som är tillåtet, vilka konsekvenserna blir om man bryter mot instruktionerna och andra bestämmelser, och hur efterlevnaden av instruktionerna följs upp minskas risken för otillåten åtkomst. Den information och utbildning som ges måste självfallet utgå från de faktiska förhållanden som råder inom SPV. Utbildnings- och informationsinsatser tjänar flera syften. Dels kan de reglera hanteringen av personuppgifter inom myndigheten, dels är de viktiga komponenter i integritetsskyddet för SPV:s anställda. SPV:s företrädare bör se till att det som sägs under utbildningarna också finns i skriven form, tillgängligt via t.ex. det nämnda intranätet. Detta för att personalen ska kunna ta del av, och friska upp minnet kring, vad som gäller avseende exempelvis informationssäkerheten inom SPV. SPV bör också följa upp utbildningarna inom informationssäkerhet. Det kan röra sig om dels ytterligare utbildningstillfällen, dels påminnelser om vad som står i det utbildningsmaterial som de anställda enligt ovan bör ges tillgång till på flera sätt. Ytterligare en viktig komponent i arbetet med informationen är att den nu befintliga informationen naturligtvis uppdateras allteftersom systemen utvecklas. Exempelvis i kölvattnet av införandet av den ovan förelagda loggen och logguppföljningen. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder över- Sida 12 av 13
klagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av teamledaren Britt-Marie Wester, IT-säkerhetsspecialisten Magnus Bergström, juristerna Lena Carlsson, Anna Hörnlund samt Lars Söderberg, föredragande. Göran Gräslund Lars Söderberg Sida 13 av 13