Rapport om personuppgiftsincident var offentlig

En journalist hade rätt att få ut en rapport om en personuppgiftsincident som hade kommit in till Datainspektionen. Kammarrätten slog fast att rapporten kunde lämnas ut i sin helhet. Incidentrapporter kan visserligen ge upplysningar om att en viss ingivares IT-system är sårbart för attacker. Men i det här fallet avsåg inte rapporten intrång eller brister i ett IT-system. Därmed var den harmlös och kunde lämnas ut, enligt kammarrätten.

KR_Sthlm_5200_18

Rapporter om IT-incidenter hemliga

En journalist begärde ut IT-incidentrapporter som olika myndigheter hade skickat in till Myndigheten för säkerhetsskydd och beredskap (MSB). MSB lämnade ut rapporterna men först efter att ha maskat i stort sett samtliga uppgifter i dessa. Journalisten överklagade till kammarrätten och yrkade att åtminstone få ut namnet på de rapporterande myndigheterna och tillräckligt mycket av incident- och konsekvensbeskrivningarna för att förstå sammanhanget. Kammarrätten avslog överklagandet.

KR_Goteborg_5032_16

Systembehöriga hemlighölls på fel grund

Uppgifter om vilka som har behörighet till Riksdagsförvaltningens system Marval kan inte hemlighållas med stöd av den sekretess som gäller för uppgifter om säkerhets- och bevakningsåtgärder. Det slog HFD fast i den här domen.

Marval är Riksdagsförvaltningens interna ärendehanteringssystem för bl.a. beställningar, problemärenden och serviceärenden. HFD tog i sin bedömning hänsyn till arten av den information som finns i systemet och antalet personer som har behörighet till det. 

Domstolen skickade tillbaka ärendet till Riksdagsförvaltningen för prövning av om uppgifterna var hemliga på någon annan grund.