Rapport om personuppgiftsincident var offentlig

En journalist hade rätt att få ut en rapport om en personuppgiftsincident som hade kommit in till Datainspektionen. Kammarrätten slog fast att rapporten kunde lämnas ut i sin helhet. Incidentrapporter kan visserligen ge upplysningar om att en viss ingivares IT-system är sårbart för attacker. Men i det här fallet avsåg inte rapporten intrång eller brister i ett IT-system. Därmed var den harmlös och kunde lämnas ut, enligt kammarrätten.

KR_Sthlm_5200_18

KR Sthlm 1941-13

En journalist nekades få ut de incidentrapporter som rörde IT-säkerheten för Karolinska universitetssjukhuset under 2012 och 2013. Även uppgiften om antalet rapporter om IT-säkerheten vid sjukhuset var sekretessbelagd. Det slog kammarrätten fast med hänvisning till att ett utlämnande kunde motverka landstingets säkerhetsåtgärder. Landstinget hade bland annat hävdat att en uppgift om antalet IT-incidentrapporter i sig kunde utlösa ett försök att testa myndighetens säkerhetssystem.

KR_Sthlm_1941_13