Skip to main content

datainspektionen

Datainspektionen riktar kritik mot polisens allmänna spaningsregister

Posted in

Granskningen av polisens allmänna spaningsregister mynnar ut i sex förelägganden som Rikspolisstyrelsen måste åtgärda och tre rekommendationer som polisen bör följa.

Datainspektionen har granskat hur Rikspolisstyrelsen, RPS, hanterar personuppgifter i polisens allmänna spaningsregister, som internt hos polisen kallas för ASP. Vid fyra tillfällen har jurister och en IT-säkerhetsspecialist inspekterat registret på plats hos RPS, som är ansvarig för registret. Granskningen är en del av den plan som Datainspektionen varje år gör upp för hur polisens behandling av personuppgifter ska kontrolleras.

- Det allmänna spaningsregistret är extra integritetskänsligt, bland annat för att kraven för att registrera uppgifter är låga och för att även personer som inte är misstänkta för brott får registreras, säger Datainspektionens generaldirektör Kristina Svahn Starrsjö. Dessutom är det många inom polisen som har tillgång till registret.

Inspektionerna visar att Rikspolisstyrelsen brister i sitt sätt att hantera personuppgifter i registret. I sitt beslut listar Datainspektionen sex förelägganden som RPS måste åtgärda och tre rekommendationer som den bör följa.

Bland annat måste man införa rutiner som säkerställer att bara uppgifter som är av särskild betydelse för polisens spaningsverksamhet registreras i ASP. Vidare föreläggs Rikspolisstyrelsen att ta bort uppgifter som rör personer som blivit frikända i domstol eller där åtal har lagts ned.

- I dag låter RPS uppgifterna stå kvar i registret trots att en frikännande dom har meddelats eller ett åtal har lagts ned, säger Nicklas Hjertonsson som lett Datainspektionens granskning.

Rikspolisstyrelsen måste även se till att skyddade personuppgifter i ASP inte direkt visas i klartext när man söker på en person i registret. IT-systemet måste ändras så att en användare som behöver se de skyddade uppgifterna måste göra en aktiv åtgärd innan uppgifterna visas. Detta för att förhindra onödig exponering av de skyddade uppgifterna.

I registret är det möjligt att gruppera personuppgifter. Datainspektionen rekommenderar RPS att gå igenom grupperingarna "Kringresande" och "Kringfarande" och grupperingar med liknande namn för att säkerställa att dessa inte gör det möjligt att sammanställa uppgifter som bygger på exempelvis etnicitet. Dessutom föreläggs Rikspolisstyrelsen att sluta använda grupperingsnamn som innehåller känsliga personuppgifter.

Läs Datainspektionens beslut i pdf-format

Diskutera ämnet vidare i Piratplatsen Forum.

Datainspektionen granskar Malmö-skolors molntjänster

Posted in

Inspektion i nästa vecka ska ge svar på om Malmös skolor uppfyller reglerna i personuppgiftslagen när de använder Googles molntjänster.

Den 17 februari inspekterar Datainspektionen utbildningsnämnden i Malmö stad. Syftet med inspektionen är att kontrollera om Malmös skolor uppfyller reglerna i personuppgiftslagen när de använder molntjänsten Google Apps for Education.

- Vi har inte granskat Malmös användning av Googles molntjänst tidigare. Men vi har vid en annan inspektion riktat kritik mot en skolas avtal med Google. Nu ska vi undersöka om Malmös avtal är annorlunda utformat och i så fall hur, säger Ingela Alverfors som leder Datainspektionens granskning.

Förutom att granska själva avtalet är målet med inspektionen att undersöka hur molntjänsterna används, vilka typer av personuppgifter som hanteras, vilka instruktioner som utbildningsnämnden tagit fram för rektorer, lärare och elever, och hur den risk- och sårbarhetsanalys som måste göras, ser ut.

Diskutera ämnet vidare i Piratplatsen Forum.

Datainspektionen kan inte ingripa mot Lexbase som hänger ut dömda

Posted in

Eftersom webbplatsen har ett så kallat utgivningsbevis behöver den inte följa reglerna i personuppgiftslagen. Det behövs lagändringar för att förhindra den här typen av systematiska integritetskränkningar.

Nyligen lanserades webbplatsen Lexbase.se som publicerar flera miljoner dokument som begärts ut som allmän handling från svenska domstolar. På webbplatsen går det via en kartfunktion att se vilka grannar som är dömda för brott eller så kan man direkt söka på namn eller personnummer.

Webbplatsen har ett så kallat utgivningsbevis vilket gör att den inte behöver följa reglerna i personuppgiftslagen. Utgivningsbevis ger sajten grundlagsskydd och grundlag gäller alltid före övriga lagar. Datainspektionen är därför förhindrad att ingripa mot sajten.

Idag, på den europeiska dataskyddsdagen, manar Datainspektionens generaldirektör i ett debattinlägg i Dagens Nyheter till att man skyndsamt måste påbörja arbetet att ändra grundlagen för att förhindra den här typen av systematiska integritetskränkningar.

- Tanken med utgivningsbevis är god. Med utgivningsbevis kan även andra än massmediabolag få ett grundlagsskydd vilket stärker yttrandefriheten på nätet. Nu ser vi tyvärr att den möjligheten missbrukas av sajter som masspublicerar personuppgifter på ett sätt som skulle vara förbjudet om de skulle följa reglerna i personuppgiftslagen, säger Datainspektionens generaldirektör Kristina Svahn Starrsjö.

Läs Kristina Svahn Starrsjös inlägg på DN Debatt

Läs frågor och svar om webbsajter som har utgivningsbevis och som masspublicerar personuppgifter

Läs Datainspektionens yttrande 2009 där myndigheten varnar för sajter med utgivningsbevis som ägnar sig åt systematiska integritetskränkningar

Läs Datainspektionens beslut att en kommun måste följa reglerna i personuppgiftslagen även om den har skaffat ett så kallat utgivningsbevis för sin vanliga webbplats

Dataskyddsdagen 2014
Den europeiska dataskyddsdagen inträffar den 28 januari. Det är Europarådet som har utnämnt dagen till Data Protection Day. Tanken är att Europas dataskyddsmyndigheter ska ordna olika aktiviteter runt denna dag för att öka medvetenheten om hur personuppgifter samlas in och behandlas och vilka rättigheter man har som medborgare. Datumet har valts eftersom Europarådets Dataskyddskonvention antogs den 28 januari 1981.
Den europeiska dataskyddsmannen, EDPS, har tagit fram en fil som beskriver dataskyddsmyndigheternas arbete.
Titta på filmen på Youtube

Diskutera ämnet vidare i Piratplatsen Forum.

Onödigt gå längre än vad konvention kräver

Posted in

Datainspektionen är kritisk till åtgärder som föreslås då Sverige ska tillträda Europarådets konvention om it-relaterad brottslighet, bland annat eftersom det svenska förslaget går längre än vad som behövs.

Europarådet har antagit en konvention om it-relaterad brottslighet. Syftet med konventionen är bland annat att "lägga grunden för ett snabbt och effektivt internationellt samarbete vid bekämpningen av it-relaterade brott".

En utredning har på uppdrag av regeringen lämnat förslag till de ändringar av lagar och förordningar som krävs för att Sverige ska kunna tillträda konventionen.

Datainspektionen är kritisk till utredningens förslag att bland andra polisen vid en husrannsakan ska kunna förelägga en person att lämna ut uppgifter som exempelvis lösenord och dekrypteringsnycklar som kan behövas för att komma åt ett visst IT-system.

I utredningen framgår att den här möjligheten till föreläggande inte behövs för att Sverige ska kunna tillträda konventionen. Skälet är i stället att det skulle underlätta för polis och åklagare. Datainspektionen konstaterar dock att utredningen inte redovisat någon analys av vilka integritetsrisker förslaget innebär.

Myndigheten flaggar också för risken att en hårddisk som kopieras vid en husrannsakan kan innehålla stora mängder information som inte är relevant för utredningen av brottet eller information om personer som inte har med utredningen att göra. Det tycks inte finnas några krav på gallring av kopian eller av den informationen som inte behövs för utredningen.

- Vi ser stora integritetsrisker med att överskottsinformation hanteras på detta sätt, säger Anna Hörnlund, jurist på Datainspektionen.

Myndigheten ser dock positivt på förslaget om en särskild straffskala för grovt dataintrång, vilket skulle innebära ett ökat integritetsskydd.

Läs Datainspektionens yttrande i pdf-format

Diskutera ämnet vidare i Piratplatsen Forum.

Integritetsanalys saknas i spionlag

Posted in

Datainspektionen är kritiskt till det lagförslag som ger polisen större befogenheter att använda hemlig avlyssning och kameraövervakning för att utreda spioneri. Detta eftersom det saknas en analys av hur förslaget kommer att påverka skyddet av den personliga integriteten.

Utredningen "Spioneri och annan olovlig underrättelseverksamhet" har tagit fram ett förslag på hur skyddet mot främmande makts underrättelseverksamhet ska stärkas i svensk lag. Bland annat föreslås att polisen ska få möjlighet att använda hemlig teleavlyssning och hemlig kameraövervakning för att förhindra och utreda nya kategorier av brott som rör spioneri.

I sitt yttrande om förslaget riktar Datainspektionen kritik mot att det saknas en analys som belyser vilka konsekvenser lagförslaget har för skyddet av den personliga integriteten.

2010 ändrades den svenska grundlagen bland annat med syfte att säkerställa att "lagar, som inskränker integritetsskyddet endast får genomföras om det intresse, som ska tillgodoses, är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig". Lagförslag som innebär ingrepp i den personliga integriteten ska föregås av noggranna överväganden som belyser konsekvenser och innefattar bedömningar av om det finns mindre ingripande alternativ för att uppnå syftet med den föreslagna åtgärden.

- Det är beklagligt att utredningsförslag som griper in i sådana grundläggande fri- och rättigheter som rätten till respekt för privatlivet inte innehåller tillfredsställande analyser av konsekvenserna för den personliga integriteten, säger Datainspektionens tf generaldirektör Hans-Olof Lindblom.

Läs Datainspektionens yttrande i pdf-format

Diskutera ämnet vidare i Piratplatsen Forum.

Datainspektionen riktar kritik mot samtliga länsstyrelser

Posted in

Myndigheten har granskat Sveriges länsstyrelser och riktar på flera punkter kritik mot hur personuppgifter hanteras i verksamheterna.

2010 granskade Datainspektionen hur länsstyrelsen i Västra Götalands län hanterar personuppgifter. Myndigheten riktade då kritik mot att alla användare kunde komma åt alla handlingar som inte var sekretessbelagda, när det i stället bör vara så att respektive användare enbart ska komma åt de uppgifter som behövs för att kunna lösa de egna arbetsuppgifterna. Datainspektionen var även kritisk till hur länsstyrelsen publicerade uppgifter i det webbdiarium som kan nås av allmänheten.

Nu har Datainspektionen granskat landets övriga 20 länsstyrelser.

- Tyvärr finns flera av de brister som vi upptäckte hos Västra Götaland även hos övriga länsstyrelser, säger Maria Karlströms som lett Datainspektionens granskning.

Vanliga fel är att det saknas behörighetsstyrning i IT-systemen som säkerställer att respektive anställd enbart kan komma åt personuppgifter som behövs för de egna arbetsuppgifterna. Det saknas även kontrollmekanismer i IT-systemen för att upptäcka och beivra obehörig åtkomst.

Även i denna breda granskning riktar Datainspektionen kritik mot att länsstyrelserna saknar rutiner som säkerställer att de på sina webbplatser inte publicerar så kallade känsliga personuppgifter eller personuppgifter som direkt pekar ut enskilda i ärenden som brott.

- För all offentlig verksamhet där man publicerar personuppgifter på Internet i exempelvis diarier är det mycket viktigt att ha fungerande rutiner som säkerställer att bland annat känsliga personuppgifter och uppgifter som rör brott tas bort innan publicering, säger Maria Karlströms.

Datainspektionen har sammanfattat sina iakttagelser och tagit fram en vägledning för länsstyrelserna.

Läs sammanfattningen och vägledningen (pdf-format)

Diskutera ämnet vidare i Piratplatsen Forum.

Datainspektionen granskar samtliga polismyndigheter

Posted in

För att få en heltäckande bild av hur polisen hanterar personuppgifter i den brottsbekämpande verksamheten har Datainspektionen nu granskat samtliga 21 polismyndigheter.

Datainspektionen har granskat landets samtliga 21 polismyndigheter samt Rikskriminalpolisen. Syftet är att få en heltäckande bild av hur de olika polismyndigheterna hanterar personuppgifter i den brottsbekämpande verksamheten efter den 1 mars 2012 då en ny polisdatalag och polisdataförordning trädde i kraft.

- Den här översiktiga granskningen ger oss ett bättre underlag i våra kommande detaljgranskningar av olika polismyndigheter. Det är viktigt att Datainspektionen som tillsynsmyndighet är tidigt ute i viktiga integritetsfrågor på polisens område. Erfarenheterna visar att det behövs och nu har vi dessutom ett nytt regelverket ska implementeras, säger Jonas Agnvall som lett projektet.

Diskutera ämnet vidare i Piratplatsen Forum.

80 lagförslag och händelser påverkade den personliga integriteten under 2012

Posted in

För femte året i följd redogör Datainspektionen för lagar, lagförslag, beslut och andra händelser som påverkade den personliga integriteten under det gångna året.

Idag skickar Datainspektionen ut skriften Integritetsåret 2012 till riksdagsledamöter, departement, nyhetsredaktioner, journalister och andra påverkare. I skriften redovisas 80 lagar, lagförslag och händelser som påverkade integriteten under det gångna året.

Integritetet har varit i fokus under hela 2012, från januari då EU-kommissionen presenterade ett förslag till ny dataskyddslagstiftning som kan medföra stora förändringar för skyddet av den personliga integriteten, till december då blev det upplopp i Göteborg efter att någon öppnat ett konto på fotodelningstjänsten Instagram och publicerat kränkande texter och bilder om ett antal unga tjejer.

Du kan även läsa om hur polisen på sin webbplats hängde ut en oskyldig med bild i ett halvår, patienters svårighet att spärra sina journaluppgifter och hur kreditupplysningsföretagen hittat nya sätt att kringgå lagen.

– Det är femte året i rad som vi tar fram en sådan här redogörelse, säger Datainspektionens generaldirektör Göran Gräslund. En av tankarna med skriften är att väcka frågor som: Hur påverkas den personliga integriteten inte bara av ett visst lagförslag utan av alla lagar och föreslagna lagar tillsammans? Hur stort bli det samlade trycket mot den personliga integriteten när man väger samman alla stora myndighetsregister och hur dessa utbyter information? Hur mycket mindre blir den fredade zon vi alla har rätt till när nya tekniker används för att övervaka oss på allt fler sätt?

Läs Integritetsåret 2012 i pdf-format eller beställ kostnadsfritt som trycksak.

Beställ Integritetsåret 2012 som trycksak

Läs Integritetsåret 2012 i pdf-format

Diskutera ämnet vidare i Piratplatsen Forum.

Inför straff för att motverka kränkningar

Datainspektionen anser att det bör införas en straffbestämmelse för att motverka grova kränkningar på bland annat Internet. Straffbestämmelsen ska vara generell och även gälla de webbplatser som idag är grundlagsskyddade.

En utredning har på uppdrag av regeringen tagit fram ett förslag till översyn av lagarna för tryck- och yttrandefrihet. Datainspektionen konstaterar att förslaget inte innehåller några bestämmelser som stärker skyddet för enskildas integritet och privatliv på webbplatser som är grundlagsskyddade. Webbplatser som drivs av massmediebolag är grundlagsskyddade men även andra webbplatser kan grundlagsskyddas med så kallade utgivningsbevis.

Datainspektionen anser att det behövs en generell straffbestämmelse som kriminaliserar grova kränkningar såväl innanför som utanför det grundlagsskyddade området. Det är viktigt att en utredning i denna fråga snarast kommer till stånd.

- Vi kommer dagligen i kontakt med människor som uppfattar att deras integritet kränks på Internet. En generell straffbestämmelse skulle vara ett verktyg för att stävja dessa kränkningar. Det ska inte spela någon roll om allvarliga kränkningar av integriteten sker innanför eller utanför det grundlagsskyddade området. En sådan straffbestämmelse skulle bidra till att skapa balans mellan yttrandefrihet och integritetsskydd, säger Datainspektionens generaldirektör Göran Gräslund.

Läs Datainspektionens yttrade i pdf-format

Diskutera ämnet vidare i Piratplatsen Forum.

Fel av barnklinik spela in alla samtal

Posted in

Barnkliniken vid Ystads lasarett spelar in alla inkommande samtal och sparar dessa i minst tre år. Datainspektionen konstaterar att kliniken inte tillräckligt kan motivera inspelningarna.

På barnkliniken vid Ystads lasarett spelas alla inkommande samtal in. Även vissa utgående samtal spelas in. Inspelningarna sparas i minst tre år. Syftet uppges vara kvalitetssäkring, då de inspelade samtalen kan användas för att fastställa vilken information som patienterna fått av personalen. Dessutom vill man minska mängden hot och otrevligheter som riktas mot de som arbetar i telefonrådgivningen. Hittills har kliniken inte behövt granska något sparat telefonsamtal.

- Inspelning av telefonsamtal innebär ett integritetsintrång för såväl patienter som anhöriga och anställda. För att det ska vara lagligt måste det finnas ett påtagligt behov av systematisk kvalitetssäkring som inte kan lösas på något annat, mindre integritetskänsligt sätt. Kliniken har inte visat att det finns ett sådant behov som motiverar att alla samtal spelas in, säger Katarina Högquist, jurist på Datainspektionen.

Datainspektionen förelägger därför Region Skåne, som är personuppgiftsansvarig för kliniken, att ta fram en plan som redogör för vilka åtgärder som kommer att vidtas för att säkerställa att kliniken enbart spelar in samtal när det finns ett påtagligt behov. Om ett samtal spelas in måste den uppringande dessutom bli tillräckligt informerad om detta.

Läs beslutet (i pdf-format)

Diskutera ämnet vidare i Piratplatsen Forum.