Rapport om personuppgiftsincident var offentlig

En journalist hade rätt att få ut en rapport om en personuppgiftsincident som hade kommit in till Datainspektionen. Kammarrätten slog fast att rapporten kunde lämnas ut i sin helhet. Incidentrapporter kan visserligen ge upplysningar om att en viss ingivares IT-system är sårbart för attacker. Men i det här fallet avsåg inte rapporten intrång eller brister i ett IT-system. Därmed var den harmlös och kunde lämnas ut, enligt kammarrätten.

KR_Sthlm_5200_18

Hemligt om personuppgiftsläcka inträffat

En person begärde hos Myndigheten för samhällsskydd och beredskap, MSB, att få ta del av en IT-incidentrapport från Försäkringskassan som gällde en personuppgiftsläcka från myndighetens tjänst Mina sidor ett visst angivet datum. MSB avslog begäran med motiveringen att en uppgift om huruvida en viss myndighet under en viss tidsperiod lämnat en IT-incidentrapport eller inte kan avslöja brister i myndighetens  IT- och kommunikationssystem. Personen överklagade och påpekade att det framgår av tidningsurklipp som publicerats på Facebook att en IT-incident inträffat på Försäkringskassan. I ett yttrande till kammarrätten svarade MSB att Försäkringskassan inte på något sätt bekräftat att en incident skulle ha ägt rum. Kammarrätten delade MSB:s bedömning och avslog överklagandet utan någon närmare motivering.

KR_Goteborg_2063_17