Hemligt om personuppgiftsläcka inträffat

En person begärde hos Myndigheten för samhällsskydd och beredskap, MSB, att få ta del av en IT-incidentrapport från Försäkringskassan som gällde en personuppgiftsläcka från myndighetens tjänst Mina sidor ett visst angivet datum. MSB avslog begäran med motiveringen att en uppgift om huruvida en viss myndighet under en viss tidsperiod lämnat en IT-incidentrapport eller inte kan avslöja brister i myndighetens  IT- och kommunikationssystem. Personen överklagade och påpekade att det framgår av tidningsurklipp som publicerats på Facebook att en IT-incident inträffat på Försäkringskassan. I ett yttrande till kammarrätten svarade MSB att Försäkringskassan inte på något sätt bekräftat att en incident skulle ha ägt rum. Kammarrätten delade MSB:s bedömning och avslog överklagandet utan någon närmare motivering.

KR_Goteborg_2063_17

IT-incidenter var hemliga

En politiker begärde ut IT-incidentrapporter som hade kommit in till Myndigheten för säkerhetsskydd och beredskap (MSB) från andra myndigheter. MSB lämnade ut rapporterna men med merparten av uppgifterna maskerade. Politikern överklagade till kammarrätten och skrev att fler uppgifter borde kunna offentliggöras, till exempel namnen på de rapporterande myndigheterna och datumangivelser. Dessutom menade hon att vissa uppgifter borde kunna lämnas ut med sekretessförbehåll. Kammarrätten avslog överklagandet. Det framgår inte av domskälen om kammarrätten prövade frågan om sekretessförbehåll.

KR_Gbg_5858_16

KR Sthlm 1941-13

En journalist nekades få ut de incidentrapporter som rörde IT-säkerheten för Karolinska universitetssjukhuset under 2012 och 2013. Även uppgiften om antalet rapporter om IT-säkerheten vid sjukhuset var sekretessbelagd. Det slog kammarrätten fast med hänvisning till att ett utlämnande kunde motverka landstingets säkerhetsåtgärder. Landstinget hade bland annat hävdat att en uppgift om antalet IT-incidentrapporter i sig kunde utlösa ett försök att testa myndighetens säkerhetssystem.

KR_Sthlm_1941_13

KR Jönköping 1301-13

Kammarrätten konstaterade att incidentrapporter som anstalten Hinseberg ställt samman på ett visst sätt och med ett visst syfte för att sedan sända vidare till en enhet vid Kriminalvårdens huvudkontor var var allmänna handlingar. Domstolen hänvisade till RÅ 1998 ref. 30. Kriminalvården hade hävdat att handlingarna inte var allmänna eftersom Kriminalvården är en myndighet och handlingarna hade skickats inom denna.

KR_Jonkoping_1301_13

KR 3724-12

Lunds universitet vägrade lämna ut kopior av incidentrapporter som hade kommit in till universitetets säkerhetshandläggare. Kammarrätten gav universitetet bakläxa för att det inte hade prövat om rapporterna kunde vara allmänna därför att de kommit in från utomstående eller från personal på fristående delar av universitet. Kammarrätten konstaterade också att vissa av rapporterna kunde vara allmänna på den grunden att de tillhörde ärenden som hade avslutats.

KR_Goteborg_3724_12