Algoritm bakom beslut var hemlig

En person begärde att få ta del av de datorprogram och algoritmer som genererar Försäkringskassans beslut om tandvårdsbidrag. Försäkringskassan avslog begäran med hänvisning till att den begärda informationen avslöjade bevaknings- och säkerhetsåtgärder.

Personen överklagade men fick avslag i kammarrätten. Domstolen konstaterade att de begärda uppgifterna avslöjade hur information från tandvårdskliniker förs in i systemet och hur den informationen genererar underlag för Försäkringskassans beslut. Uppgifter om de datorprogram eller algoritmer som används kan även indirekt ge information om hur systemet kan kringgås eller manipuleras, ansåg kammarrätten. Enligt domstolen hade Försäkringskassan därför fog för sitt beslut att inte lämna ut uppgifterna.

Allmänt hållen beskrivning av risker inte hemlig

En kommuns allmänt hållna beskrivningar av risker, konsekvenser och åtgärder i en klassificering av informationstillgångar avseende produkten EDP Mobile var inte hemliga. Det bedömde kammarrätten i den här domen. Ändå hade kommunen hemlighållit dessa. Mot bakgrund av detta konstaterade domstolen att kommunen inte hade gjort en tillräckligt noggrann prövning av uppgifterna i handlingen och skickade tillbaka ärendet till kommunen.

Arkivförteckning var hemlig i stora delar

En journalist begärde ut handlingsslagsredovisningen i Polismyndighetens arkivförteckning samt myndighetens förteckning över personuppgiftsbehandlingar. Polismyndigheten lämnade ut handlingarna men hade maskerat stora stycken i dessa med hänvisning till att uppgifterna kunde användas för att kartlägga myndighetens verksamhet. Journalisten överklagade. Kammarrätten fastställde Polismyndighetens beslut i den del som avsåg arkivförteckningen. Domstolen skrev att
“…de begärda uppgifterna är av sådan karaktär att
de sammantaget ger en sådan överblick över Polismyndighetens organisation och arbetsmetoder att de omfattas av sekretess. I fråga om förteckningen över personuppgiftsbehandlingar kom domstolen fram till att Polismyndigheten inte hade gjort en tillräckligt noggrann sekretessprövning och återförvisade ärendet i den delen till Polismyndigheten.

Datainspektionen fick bakläxa om incidentrapporter

En person begärde hos Datainspektionen att få en lista över alla bolag som hade lämnat in anmälningar om personuppgiftsincidenter under de första månaderna med den nya dataskyddsförordningen. Han begärde också ut inkomna anmälningar från två bolag: Bauhaus och Telenor.

Datainspektionen vägrade lämna ut en komplett lista över alla bolag som hade gjort anmälningar men bekräftade att Telenor, Bauhaus och Polarn O. Pyret hade gjort sådana anmälningar. Att identiteten på dessa bolag kunde offentliggöras berodde på att anmälningarna från två av dem ansågs innehålla harmlösa uppgifter och det tredje hade uttalat sig i medierna om sin anmälan. Vad gällde begäran om att få ut de inkomna anmälningarna från Bauhaus och Telenor blev det avslag i fråga om Telenor medan anmälan från Bauhaus lämnades ut av Datainspektionen.

Sökanden överklagade och fick delvis rätt i kammarrätten. Domstolen slog fast att ett antal avsnitt i Telenors anmälan kunde lämnas ut. Vad gällde listan med bolag som hade anmält personuppgiftsincidenter så skickade kammarrätten tillbaka den delen till Datainspektionen för ny prövning. Det gäller inte någon absolut sekretess för uppgifter om identiteten på dem som anmäler personuppgiftsincidenter, konstaterade kammarrätten. Den frågan måste bedömas utifrån innehållet i respektive anmälan, vilket Datainspektionen inte hade gjort, enligt kammarrätten.

KR_Sthlm_6913-18

Datainspektionen fick bakläxa på slarvig prövning

En person ville veta hur många anmälningar om personuppgiftsincidenter som Region Jönköpings län hade skickat till Datainspektionen. Inspektionen menade att det var hemligt och avslog begäran. Personen överklagade till kammarrätten som undanröjde Datainspektionens beslut och skickade tillbaka ärendet dit för ny prövning. Domstolen ansåg att man måste titta på innehållet i respektive incidentanmälan för att kunna avgöra om en anmälans blotta existens är hemlig.

Datainspektionen hemlighöll för mycket

En person begärde ut anmälningar om personuppgiftsincidenter som hade kommit in till Datainspektionen i ett antal ärenden. Myndigheten avslog helt och lämnade inte ut dessa i någon del. Personen överklagade till kammarrätten som upphävde Datainspektionens beslut. Kammarrätten menade att det fanns ett flertal uppgifter i de efterfrågade anmälningarna som var offentliga och skickade därför tillbaka ärendet till Datainspektionen för en ordentlig sekretessprövning.

KR_Sthlm_6094_18

Försvarssekretess gällde för häktes tjänstgöringslista

En intagen begärde hos Kriminalvården att få del av en handling med namn på alla som jobbade på en viss häktesavdelning under en angiven natt, plus de som kom till avdelningen för att förflytta honom till isoleringen. Kriminalvården avslog begäran med hänvisning till försvarssekretess samt den sekretess som skyddar bevaknings- och säkerhetsåtgärder.

Den intagne överklagade men kammarrätten delade Kriminalvårdens bedömning och avslog.

Hemliga internrevisioner på Luftfartsverket

När Luftfartsverket lämnade ut tre rapporter från myndighetens internrevision var en rad uppgifter maskerade med hänvisning till försvarssekretess, sekretess för säkerhetsåtgärder och affärssekretess. Journalisten, som hade begärt ut rapporterna, överklagade men fick bara ut ytterligare uppgifter från en rapport i delar som rörde Luftfartsverkets hantering av allmänna handlingar och personuppgifter.

KR_Jonkoping_411_18

Hemligt om personuppgiftsläcka inträffat

En person begärde hos Myndigheten för samhällsskydd och beredskap, MSB, att få ta del av en IT-incidentrapport från Försäkringskassan som gällde en personuppgiftsläcka från myndighetens tjänst Mina sidor ett visst angivet datum. MSB avslog begäran med motiveringen att en uppgift om huruvida en viss myndighet under en viss tidsperiod lämnat en IT-incidentrapport eller inte kan avslöja brister i myndighetens  IT- och kommunikationssystem. Personen överklagade och påpekade att det framgår av tidningsurklipp som publicerats på Facebook att en IT-incident inträffat på Försäkringskassan. I ett yttrande till kammarrätten svarade MSB att Försäkringskassan inte på något sätt bekräftat att en incident skulle ha ägt rum. Kammarrätten delade MSB:s bedömning och avslog överklagandet utan någon närmare motivering.

KR_Goteborg_2063_17