datainspektionen

Myndigheten har granskat Sveriges länsstyrelser och riktar på flera punkter kritik mot hur personuppgifter hanteras i verksamheterna.

2010 granskade Datainspektionen hur länsstyrelsen i Västra Götalands län hanterar personuppgifter. Myndigheten riktade då kritik mot att alla användare kunde komma åt alla handlingar som inte var sekretessbelagda, när det i stället bör vara så att respektive användare enbart ska komma åt de uppgifter som behövs för att kunna lösa de egna arbetsuppgifterna. Datainspektionen var även kritisk till hur länsstyrelsen publicerade uppgifter i det webbdiarium som kan nås av allmänheten.

Nu har Datainspektionen granskat landets övriga 20 länsstyrelser.

- Tyvärr finns flera av de brister som vi upptäckte hos Västra Götaland även hos övriga länsstyrelser, säger Maria Karlströms som lett Datainspektionens granskning.

Vanliga fel är att det saknas behörighetsstyrning i IT-systemen som säkerställer att respektive anställd enbart kan komma åt personuppgifter som behövs för de egna arbetsuppgifterna. Det saknas även kontrollmekanismer i IT-systemen för att upptäcka och beivra obehörig åtkomst.

Även i denna breda granskning riktar Datainspektionen kritik mot att länsstyrelserna saknar rutiner som säkerställer att de på sina webbplatser inte publicerar så kallade känsliga personuppgifter eller personuppgifter som direkt pekar ut enskilda i ärenden som brott.

- För all offentlig verksamhet där man publicerar personuppgifter på Internet i exempelvis diarier är det mycket viktigt att ha fungerande rutiner som säkerställer att bland annat känsliga personuppgifter och uppgifter som rör brott tas bort innan publicering, säger Maria Karlströms.

Datainspektionen har sammanfattat sina iakttagelser och tagit fram en vägledning för länsstyrelserna.

Läs sammanfattningen och vägledningen (pdf-format)

Diskutera ämnet vidare i Piratplatsen Forum.

För att få en heltäckande bild av hur polisen hanterar personuppgifter i den brottsbekämpande verksamheten har Datainspektionen nu granskat samtliga 21 polismyndigheter.

Datainspektionen har granskat landets samtliga 21 polismyndigheter samt Rikskriminalpolisen. Syftet är att få en heltäckande bild av hur de olika polismyndigheterna hanterar personuppgifter i den brottsbekämpande verksamheten efter den 1 mars 2012 då en ny polisdatalag och polisdataförordning trädde i kraft.

- Den här översiktiga granskningen ger oss ett bättre underlag i våra kommande detaljgranskningar av olika polismyndigheter. Det är viktigt att Datainspektionen som tillsynsmyndighet är tidigt ute i viktiga integritetsfrågor på polisens område. Erfarenheterna visar att det behövs och nu har vi dessutom ett nytt regelverket ska implementeras, säger Jonas Agnvall som lett projektet.

Diskutera ämnet vidare i Piratplatsen Forum.

För femte året i följd redogör Datainspektionen för lagar, lagförslag, beslut och andra händelser som påverkade den personliga integriteten under det gångna året.

Idag skickar Datainspektionen ut skriften Integritetsåret 2012 till riksdagsledamöter, departement, nyhetsredaktioner, journalister och andra påverkare. I skriften redovisas 80 lagar, lagförslag och händelser som påverkade integriteten under det gångna året.

Integritetet har varit i fokus under hela 2012, från januari då EU-kommissionen presenterade ett förslag till ny dataskyddslagstiftning som kan medföra stora förändringar för skyddet av den personliga integriteten, till december då blev det upplopp i Göteborg efter att någon öppnat ett konto på fotodelningstjänsten Instagram och publicerat kränkande texter och bilder om ett antal unga tjejer.

Du kan även läsa om hur polisen på sin webbplats hängde ut en oskyldig med bild i ett halvår, patienters svårighet att spärra sina journaluppgifter och hur kreditupplysningsföretagen hittat nya sätt att kringgå lagen.

– Det är femte året i rad som vi tar fram en sådan här redogörelse, säger Datainspektionens generaldirektör Göran Gräslund. En av tankarna med skriften är att väcka frågor som: Hur påverkas den personliga integriteten inte bara av ett visst lagförslag utan av alla lagar och föreslagna lagar tillsammans? Hur stort bli det samlade trycket mot den personliga integriteten när man väger samman alla stora myndighetsregister och hur dessa utbyter information? Hur mycket mindre blir den fredade zon vi alla har rätt till när nya tekniker används för att övervaka oss på allt fler sätt?

Läs Integritetsåret 2012 i pdf-format eller beställ kostnadsfritt som trycksak.

Beställ Integritetsåret 2012 som trycksak

Läs Integritetsåret 2012 i pdf-format

Diskutera ämnet vidare i Piratplatsen Forum.

Datainspektionen anser att det bör införas en straffbestämmelse för att motverka grova kränkningar på bland annat Internet. Straffbestämmelsen ska vara generell och även gälla de webbplatser som idag är grundlagsskyddade.

En utredning har på uppdrag av regeringen tagit fram ett förslag till översyn av lagarna för tryck- och yttrandefrihet. Datainspektionen konstaterar att förslaget inte innehåller några bestämmelser som stärker skyddet för enskildas integritet och privatliv på webbplatser som är grundlagsskyddade. Webbplatser som drivs av massmediebolag är grundlagsskyddade men även andra webbplatser kan grundlagsskyddas med så kallade utgivningsbevis.

Datainspektionen anser att det behövs en generell straffbestämmelse som kriminaliserar grova kränkningar såväl innanför som utanför det grundlagsskyddade området. Det är viktigt att en utredning i denna fråga snarast kommer till stånd.

- Vi kommer dagligen i kontakt med människor som uppfattar att deras integritet kränks på Internet. En generell straffbestämmelse skulle vara ett verktyg för att stävja dessa kränkningar. Det ska inte spela någon roll om allvarliga kränkningar av integriteten sker innanför eller utanför det grundlagsskyddade området. En sådan straffbestämmelse skulle bidra till att skapa balans mellan yttrandefrihet och integritetsskydd, säger Datainspektionens generaldirektör Göran Gräslund.

Läs Datainspektionens yttrade i pdf-format

Diskutera ämnet vidare i Piratplatsen Forum.

Barnkliniken vid Ystads lasarett spelar in alla inkommande samtal och sparar dessa i minst tre år. Datainspektionen konstaterar att kliniken inte tillräckligt kan motivera inspelningarna.

På barnkliniken vid Ystads lasarett spelas alla inkommande samtal in. Även vissa utgående samtal spelas in. Inspelningarna sparas i minst tre år. Syftet uppges vara kvalitetssäkring, då de inspelade samtalen kan användas för att fastställa vilken information som patienterna fått av personalen. Dessutom vill man minska mängden hot och otrevligheter som riktas mot de som arbetar i telefonrådgivningen. Hittills har kliniken inte behövt granska något sparat telefonsamtal.

- Inspelning av telefonsamtal innebär ett integritetsintrång för såväl patienter som anhöriga och anställda. För att det ska vara lagligt måste det finnas ett påtagligt behov av systematisk kvalitetssäkring som inte kan lösas på något annat, mindre integritetskänsligt sätt. Kliniken har inte visat att det finns ett sådant behov som motiverar att alla samtal spelas in, säger Katarina Högquist, jurist på Datainspektionen.

Datainspektionen förelägger därför Region Skåne, som är personuppgiftsansvarig för kliniken, att ta fram en plan som redogör för vilka åtgärder som kommer att vidtas för att säkerställa att kliniken enbart spelar in samtal när det finns ett påtagligt behov. Om ett samtal spelas in måste den uppringande dessutom bli tillräckligt informerad om detta.

Läs beslutet (i pdf-format)

Diskutera ämnet vidare i Piratplatsen Forum.

Bolag får registrera uppgifter om en försäkringstagares körstil och eventuella fortkörningar. Uppgifterna registreras av speciell utrustning i kundens bil.

Ett försäkringsbolag vill införa en bilförsäkring som bygger på att försäkringstagaren betalar en premie som beräknas utifrån hur bilen körs. Försäkringen bygger på att försäkringstagaren installerar en speciell utrustning i sin bil som registrerar hur bilen körs. I sammanställd form överförs uppgifterna till försäkringsbolaget som beräknar premien.

Uppgifterna som försäkringsbolaget får tillgång till gör det möjligt att se om bilen har körts för fort. I normala fall är det endast myndigheter som får registrera uppgifter om brott, som exempelvis fortkörningar. Försäkringsbolaget har därför ansökt om ett undantag som gör det möjligt för bolaget att registrera den här typen av uppgifter i systemet.

Datainspektionen beviljar bolaget undantag bland annat på grund av att det är frivilligt att teckna försäkringen och att syftet med försäkringen är att främja en ansvarsfull och sparsam körstil och att motverka person- och sakskador i trafiken. Av betydelse för bedömningen är även att de insamlade uppgifterna endast ska användas för att beräkna premien och att de inte kommer att spridas utanför försäkringsbolaget.

- Försäkringsbolaget får inte använda uppgifterna till något annat än att beräkna försäkringspremien, säger Martin Brinnen, jurist på Datainspektionen.

Läs Datainspektionens beslut (pdf-format)

Diskutera ämnet vidare i Piratplatsen Forum.

Ett företag som i dag registrerar klotter för flera uppdragsgivares räkning vill sammanställa dessa uppgifter i en central databas för att bland annat underlätta skadeståndsanspråk. Lagen är restriktiv till privat brottsutredning, vilket gör att Datainspektionen säger nej till databasen.

Ett företag har vänt sig till Datainspektionen och begärt ett undantag från den regel i personuppgiftslagen som säger att det normalt endast är myndigheter som får hantera uppgifter om brott och misstänkta brott.

Företaget registrerar idag klotter åt flera olika uppdragsgivare för att polisanmäla skadegörelsen. Bland företagets kunder finns kommuner, landsting och myndigheter inom transportområdet.

I sin ansökan redovisar företaget att det nu vill registrera fler uppgifter och skapa en central klotterdatabas som omfattar alla de uppgifter som företaget samlar in för sina olika kunders räkning, detta för att bättre ta tillvara kundernas skadeståndsanspråk och underlätta polisens utredning.

Datainspektionen konstaterar i sitt svar på företagets ansökan att företaget på så sätt skulle bygga upp ett register med en omfattande mängd personuppgifter om brott och misstänkta brott.

- När personuppgiftslagen inrättades var lagstiftarens tanke att andra än myndigheter endast i undantagsfall ska få hantera sådana uppgifter. Därför har Datainspektionen en restriktiv hållning till att dela ut den här typen av undantag. Det gör att vi säger nej i det här fallet, säger myndighetens generaldirektör Göran Gräslund.

Diskutera ämnet vidare i Piratplatsen Forum.

I ett unikt samarbete riktar nu samtliga EU:s dataskyddsmyndigheter kritik mot Google, bland annat för att företaget inte tillräckligt informerar användarna om hur deras uppgifter kommer att användas och inte ger användarna möjlighet att kontrollera hur uppgifter från företagets olika tjänster samkörs.

Tisdagen 16 oktober skickade CNIL, den franska motsvarigheten till Datainspektionen, ett brev till Google. Brevet är underskriftet av cheferna för samtliga dataskyddsmyndigheter i EU:s 27 medlemsstater och riktar kritik mot Googles sätt att hantera personuppgifter.

- Det här är första gången som alla dataskyddsmyndigheter i Europa går samman på det här sättet, säger Datainspektionens generaldirektör Göran Gräslund.

I brevet konstateras att Google inte lever efter vissa av EU:s grundläggande dataskyddsprinciper. Kritiken mot Google består bland annat av att företaget inte tillräckligt informerar alla som använder företagets tjänster om hur deras personuppgifter kan komma att användas. Företaget ger heller inte användarna kontroll över hur deras personuppgifter från olika Google-tjänster samkörs. Dessutom är man kritisk till att företaget inte vill tala om hur länge insamlade personuppgifter kommer att sparas.

I brevet framgår att Europas dataskyddsmyndigheter nu vill att Google ser över sina integritetsvillkor och i övrigt tar fasta på de rekommendationer på förbättringar som listas i brevet.

Läs CNIL:s pressmeddelande

Läs CNIL:s brev till Google

Läs bilagan med rekommendationer till Google

Notera att samtliga dokument är på Engelska.

Diskutera ämnet vidare i Piratplatsen Forum.

Myndigheten anser att bankerna bör införa säkrare inloggning i sina bankappar och vill att bankerna nu redovisar hur det ska genomföras.

Datainspektionen har granskat ett par olika bankers appar. Myndigheten anser att sättet som bankerna använder för att identifiera kunden (personnummer plus pinkod) är för osäkert och vill att bankerna inför säkrare sätt för kunderna att logga in.

- Via bankernas appar går det att se lån, betalningar och andra transaktioner som genomförts på en kunds konton. Det gör det möjligt att kartlägga personens förehavanden i detalj, säger Adolf Slama som är IT-säkerhetsspecialist på Datainspektionen.

Datainspektionen vill nu att bankerna redovisar hur de ska införa säkrare inloggningar i sina appar. Senast 21 december vill myndigheten ha bankernas svar. De tre banker som undersökts är Nordea, Handelsbanken och Danske bank.

- Besluten för dessa banker är vägledande även för övriga banker. Vår förhoppning är resultatet från vår granskning kommer att mynna ut i en form av branschstandard som höjer säkerheten i samtliga bankers appar, säger Adolf Slama.

Diskutera ämnet vidare i Piratplatsen Forum.

Det största hotet mot Sverige är inte längre militärt, utan teknologiskt i form av olika typer av IT-attacker. Det berättar FRA:s generaldirektör i det senaste numret av Datainspektionens tidning Integritet i fokus.

I en exklusiv intervju i det senaste numret av Datainspektionens tidning Integritet i fokus berättar FRA:s generaldirektör Ingvar Åkesson att det största hotet mot Sverige inte längre är militärt, som under det kalla kriget, utan teknologiskt i form av IT-incidenter då utländska aktörer kommer åt känslig och värdefull information från svenska företag och myndigheter eller IT-attacker där man försöker sabotera verksamheter.

För ett par år sedan var bevisning som hämtats från Facebook något helt okänt för juristen Linda Bohlin. Idag förekommer det i hälften av de vårdnadstvister hon arbetar med och i vissa fall utgör texter och bilder från sociala medier själva huvudbevisningen. Även det kan du läsa mer om i tidningen.

Integritet i fokus kommer ut fyra gånger per år. Du kan teckna en gratis prenumeration och får då hem tidningen i brevlådan. Tidningen kan även hämtas som pdf-dokument via Datainspektionens webbplats.

Du som inte redan har en gratis prenumeration kan teckna en här

Klicka här för att läsa tidningen som pdf-dokument

Diskutera ämnet vidare i Piratplatsen Forum.