Kritik mot Försäkringskassan med anledning av felutskick och felpubliceringar av känsliga personuppgifter
Justitiekanslerns beslut
Justitiekanslern riktar viss kritik mot Försäkringskassan med anledning av att vidtagna åtgärder mot felutskick och felpubliceringar av känsliga personuppgifter tagit för lång tid att genomföra och inte i alla delar varit tillräckliga.
Beslutets huvudsakliga innehåll
Under de senaste åren har såväl Justitiekanslern som Riksdagens ombudsmän (JO) handlagt ärenden rörande personuppgiftsincidenter hos Försäkringskassan. I flera ärenden har kritik riktats mot kassans handläggning. Det har framför allt handlat om att handlingar som innehållit känsliga personuppgifter – vilka dessutom omfattats av sekretess – skickats till fel person (felutskick) eller att sådana uppgifter publicerats på ett sätt som medfört att fel person fått tillgång till dem (felpublicering). Mot den bakgrunden har Justitiekanslern genomfört en tillsyn i syfte att undersöka vilka åtgärder kassan har vidtagit för att säkerställa att personuppgiftsbehandlingen i dessa avseenden sker lagenligt och att fortsatta incidenter därmed kan undvikas.
Av utredningen har framgått att Försäkringskassan lagt ned ett omfattande arbete på att följa upp de personuppgiftsincidenter som rapporterats hos myndigheten. För att undvika fortsatta felutskick och felpubliceringar har kassan också vidtagit såväl tekniska som organisatoriska åtgärder. Det har handlat om förbättringar i de digitala systemen som används, rutiner för hantering av incidenter, säkerhetsregler och utbildningsinsatser.
Försäkringskassans åtgärder har numera fått genomslag, men ett stort antal allvarliga personuppgiftsincidenter hade hunnit inträffa och rapporteras under ett par års tid innan kassan vidtog åtgärder. Justitiekanslern uttalar i beslutet därför viss kritik mot kassan i det avseendet.
Bakgrund
Justitiekanslern har under de senaste åren i sin skadereglering handlagt ett antal ärenden som rör Försäkringskassans hantering av personuppgifter. I flera ärenden har ersättning utgått på grund av att kassan skickat handlingar med känsliga personuppgifter till fel person eller publicerat sådana personuppgifter på fel persons Mina sidor. (Se t.ex. dnr 3850-19-4.3.2, 5280-19-4.2, 5981-19-4.2, 7194-19-4.2, 7435-19-4.2, 600-20-4.2, 843-20-4.2, 1093-20-4.2, 2955-20-4.2, 3172-20-4.2, 4008-20-4.2 och 5594-20-4.2.)
JO har vid flera tillfällen uttalat kritik eller i vissa fall allvarlig kritik mot Försäkringskassan för felutskick och andra brister i hanteringen av sekretesskyddade uppgifter (se beslut den 16 mars 2018, dnr 5606-2017, 5820-2017 och 6105-2017 med hänvisningar, se även beslut den 27 juni 2017, dnr 1177-2017, och beslut den 31 augusti 2017, dnr 3932-2017).
Felutskicken i många av de ärenden som Justitiekanslern och JO haft anledning att granska har i huvudsak orsakats av att handläggare inte använt sig av funktionen central utskrift. Före den 1 december 2017 var det inte möjligt att inkludera bilagor vid utskick genom central utskrift, vilket innebar att varje utskick med bilagor behövde hanteras manuellt, s.k. lokal utskrift. Nämnda datum införde dock kassan en möjlighet att inkludera bilagor vid central utskrift för att minimera den manuella hanteringen och därigenom förhindra felutskick.
Anmälningar till såväl Justitiekanslern som JO om felutskick och felpubliceringar fortsatte emellertid att komma in även efter december 2017. I ett beslut den 24 januari 2019 uttalade JO åter allvarlig kritik mot Försäkringskassan för att myndigheten hade skickat handlingar med sekretesskyddade uppgifter till fel person (dnr 3273-2018). I sitt yttrande till JO uppgav kassan att en del handläggare fortfarande använde sig av lokal utskrift i stället för central utskrift, vilket ökade risken för felutskick. JO avslutade beslutsskälen med en förväntan om att kassan – om det interna kvalitetsarbetet inte leder till att regler efterlevs – vidtar rättsliga åtgärder mot de handläggare som medvetet bryter mot reglerna.
Justitiekanslern, som vid flera tillfällen instämt i tidigare kritik från JO, kritiserade återigen Försäkringskassan i ett beslut den 22 maj 2019 efter att kassan skickat ett läkarutlåtande till fel person (dnr 5621-18-2.1). I beslutet anförde Justitiekanslern att de åtgärder som kassan dittills hade vidtagit för att säkerställa att handläggarna följde interna riktlinjer – och att felaktiga utskick därmed förhindrades – uppenbarligen hade varit otillräckliga. Kassan anförde i sitt yttrande att myndigheten hade beslutat om en handlingsplan som sträckte sig till slutet av 2019 för att förhindra personuppgiftsincidenter.
Mot den bakgrunden beslutade Justitiekanslern att inleda ett särskilt tillsynsärende för att undersöka vilka åtgärder Försäkringskassan har vidtagit för att säkerställa att utskick av handlingar med känsliga personuppgifter och publicering av sådana uppgifter sker lagenligt samt att fortsatta personuppgiftsincidenter som de ovan beskrivna därmed kan undvikas.
Utredningen
Justitiekanslern har inhämtat ett yttrande från Försäkringskassan. Till yttrandet har kassan bifogat ett antal dokument med riktlinjer av olika slag, handlingsplan och säkerhetsregler m.m. av betydelse för personuppgiftsbehandlingen. Av den samlade utredningen i ärendet har bl.a. följande framkommit.
Rutiner för utskick och publiceringar
Enligt Försäkringskassans rutiner kan utskick och publiceringar av handlingar som innehåller personuppgifter ske antingen genom central utskrift eller lokal utskrift. Central utskrift innebär en kombination av handhavande hos handläggare och maskinell hantering. Vid central utskrift kan brev skickas till digital brevlåda eller manuellt med vanlig post. Handlingarna kan också publiceras på en enskilds Mina sidor. Lokal utskrift är utskick som sker helt manuellt. Då skickas handlingarna med vanlig post.
Rutinerna för utskick av handlingar som innehåller personuppgifter i försäkringsärenden framgår av Försäkringskassans riktlinjer (2012:03) för central och lokal utskrift. Enligt riktlinjerna ska central utskrift användas vid all skriftlig formell kommunikation med t.ex. enskilda i försäkringsärenden när kommunikationen innehåller personuppgifter. Lokal utskrift får enbart användas i undantagsfall. Syftet med den ordningen är att utskicken ska hanteras på ett sätt som minskar risken för fel i hanteringen av personuppgifter. För kommunikation med personer med skyddade personuppgifter gäller särskilda riktlinjer.
Vid central utskrift skapas ett brev av avsändaren, dvs. handläggaren eller systemstödet. Brevet får attribut som personnummer och postadress, vilka hämtas automatiskt men kan ändras av handläggaren. När brevet är klart att skickas kan handläggaren lägga bilagor till brevmallen. Det är handläggaren själv som aktivt väljer att inkludera en bilaga i utskicket. Om så sker måste handläggaren förhandsgranska brevet i dess helhet innan det är möjligt att välja central utskrift. Om handläggaren valt bilagor som rör olika individer ska systemet – utifrån skillnader i personnumret – uppmärksamma handläggaren på det. När brevet är klart tas det emot i en funktion som väljer hur utskicket ska gå till. Vid central utskrift skickas handlingar i första hand till en digital brevlåda för myndighetspost om mottagaren har en sådan och om handlingen uppfyller kraven för att levereras digitalt. För att avgöra om handlingarna ska skickas till digital brevlåda eller inte sker en slagning mot förmedlingsregistret utifrån personnumret i brevet. Postadressen som initialt lagts till i brevet används därför inte i detta steg. Om slagningen mot registret visar att det är möjligt att skicka brevet till en digital brevlåda skickas det till en sådan, vilken därefter kvitterar att brevet levererats. Om det inte kvitteras blir utskicket i stället levererat som ett brev med vanlig post.
För mottagare som saknar digital brevlåda men har valt att få post från Försäkringskassan på Mina sidor kommer handlingarna att visas där. Detta gäller emellertid enbart de 200 brevtyper (av totalt 1 400 som kan skickas till digital brevlåda) som är visningsbara på Mina sidor. Där har den enskilde bara tillgång till information som är kopplad till hans eller hennes eget personnummer. På Mina sidor går det att ta del av status i pågående ärenden, använda e-tjänster och läsa brev. Även annan information än brev visas på Mina sidor, som exempelvis ansökningar med läkarintyg eller andra bilagor. När någon loggar in på Mina sidor görs en kontroll av vad som ska visas. Det sker ingen lagring av breven i den funktionen. Nästa gång personen loggar in på Mina sidor görs en ny hämtning från databasen. Om personen då klickar på en länk visas handlingen igen.
I sista hand – om mottagaren inte har en digital brevlåda och inte heller har valt att få handlingar på Mina sidor, alternativt om brevet inte är ett sådant som kan visas på Mina sidor – skrivs handlingen ut på papper automatiskt i en central funktion hos Försäkringskassan och skickas med vanlig post. När det sker baseras brevutdelningen på den adress som är tryckt på brevet, dvs. den adress som lades till i brevet när det skapades.
Vid lokal utskrift skriver medarbetaren personligen ut materialet, kontrollerar att rätt handlingar läggs i rätt kuvert, försluter kuvertet och lämnar det för intern posthantering.
Orsaker till felutskick och felpubliceringar
Under våren 2020 gjorde Försäkringskassan en uppföljning av personuppgiftsincidenter som anmälts till dåvarande Datainspektionen (numera Integritetsskyddsmyndigheten, IMY). Det har kunnat konstateras att incidenter fortsatt att inträffa under 2019 och 2020. För 2019 rapporterades 2 247 incidenter, varav 369 anmäldes till Datainspektionen. Motsvarande antal för 2020 var 2 310 varav 337 anmäldes. Av rapporten från uppföljningen framgår att de flesta incidenter bestått i att handlingar med känsliga personuppgifter skickats till fel person (felutskick) eller att sådana personuppgifter publicerats på fel persons Mina sidor (felpubliceringar). Det har således handlat om obehörigt röjande och obehörig spridning av känsliga personuppgifter. I majoriteten av fallen har dock incidentrapportören bedömt att konsekvensen av incidenten varit begränsad. De maskinella felutskicken har till övervägande del orsakats av handhavandefel i samband med adressering eller bilagering. I huvudsak har handläggarna i de fallen inte följt rutinerna för central utskrift.
Ett antal felutskick och felpubliceringar har orsakats av att personnummer skrivits in eller tolkats felaktigt. Det har skett antingen genom manuell förväxling av siffror i personnumret eller genom att inskanningen har tolkat personnumret fel. Det har fått olika konsekvenser, bl.a. att handlingar har skannats in i fel ärende och skickats som bilagor till fel person eller att beslut baserats på uppgifter hänförliga till en annan person. Det är endast när en handling har registrerats med fel personnummer som den kan ses på fel persons Mina sidor. En sådan felpublicering kan även orsakas av att en handläggare av misstag registrerat information eller en handling i fel ärende eller att handhavandefel på annat sätt medfört att fel handling bilagerats vid ett utskick.
Vidare kan en handling ha innehållit fel personnummer när den getts in till Försäkringskassan. Om personnumret är felaktigt angivet i exempelvis ett läkarintyg kan intyget således komma att publiceras på fel persons Mina sidor. Informationen i intyget kontrolleras inte av kassan eftersom kontrollen förutsätts ha gjorts från avsändarens sida.
Personuppgiftsincidenter har också uppstått när sökanden gett in pappersunderlag som inte är baserat på någon av Försäkringskassans mallar. Då måste handlingen efter inskanning manuellt kopplas till ett ärende och en person, vilket medför en risk för att underlaget registreras på fel person.
När ett brev skickas via central utskrift hämtas adressen automatiskt. Ett antal incidenter har berott på felaktig eller ofullständig adressering som inträffat när handläggaren hämtat en textmall för en person med c/o adress (särskild postadress). Det har då hänt att långa adresser inte kommit med i sin helhet utan blivit delade. Orsaken har varit att när en särskild postadress aviseras av Skatteverket hamnar c/o-namn och adress på samma rad. Det kan i sin tur orsaka fel i inläsningen och leda till att delar av adressen inte läses in från Skatteverkets sida. Konsekvensen blir att den fullständiga adressen inte kommer med i mallens adressfält hos Försäkringskassan. Handläggaren behöver då själv fylla i den information som saknas. Incidenter kan uppstå när handläggaren skriver in informationen på fel rad. Adress eller postnummer syns därmed inte eftersom uppgifterna hamnar under kuvertets fönster. En annan orsak till incidenterna har varit att handläggaren själv ändrat adressen till ett ombud eller en annan person i ärendet. Om handläggaren då glömmer att fylla i en ny adress kan brevet fortfarande skrivas ut med central utskrift, men utan adress. Handläggaren får i det fallet ingen varning om att adress saknas.
Åtgärder för att förhindra och förebygga felutskick och felpubliceringar
Försäkringskassan har styrande och stödjande dokument för att säkerställa att myndigheten lever upp till de säkerhetskrav som gäller för att skydda myndighetens information (inklusive personuppgifter), såväl i digitalt som fysiskt format. Bland dokumenten finns kassans säkerhetsregler (2018:13) och säkerhetspolicy (2003:4). Det ankommer på myndighetens anställda att följa dessa regler samt de hanteringsregler och rutiner som därutöver finns i verksamheten. Vad gäller utskick ska kassans riktlinjer (2012:03) för central och lokal utskrift följas. Av riktlinjerna framgår att det material som ska skickas, inklusive bilagor, ska granskas i sin helhet både när central utskrift och lokal utskrift används. I detta ingår att kontrollera att adressen stämmer och att bilagorna är korrekta. Arbete pågår för att tekniskt komma till rätta med vissa problem, men om rutinerna följs borde felen inte inträffa.
Det finns utbildningar som myndighetens anställda ska gå som innehåller avsnitt om säkerhet för myndighetens information, personuppgiftsbehandling och sekretess. Det finns även en särskild utbildning om central utskrift. Vidare är myndighetens grundläggande säkerhetsutbildning obligatorisk för alla nyanställda och innehåller ett kunskapstest som ska repeteras vartannat år. Även rutiner för hantering och rapportering av personuppgiftsincidenter är en del av säkerhetsarbetet. Rutinerna framgår av ett särskilt dokument med handledning för hantering av säkerhetsincidenter. Kassan bedömer att rutinerna uppfyller kraven i EU:s dataskyddsförordning.
Som framgått har Försäkringskassan under 2020 gjort en uppföljning av rapporterade personuppgiftsincidenter. Utöver det har sedan april 2019 en rad andra åtgärder vidtagits. Kassan har bl.a. genomfört olika tekniska förändringar, gått igenom sin hantering av skyddad identitet, reviderat vissa av sina riktlinjer och tagit fram nya utbildningar.
Tekniska åtgärder har vidtagits för att ytterligare minimera manuell hantering av utskick till försäkrade. Kapaciteten för central utskrift har ökats från 2 MB till 7 MB eller från 50 till 80 sidor. Det gör att fler utskick kan ske genom maskinell hantering i stället för genom manuell sådan.
Förhandsgranskningen av bilagor har förbättrats. Alla bilagda dokument måste godkännas individuellt av handläggaren innan de tas med i ett utskick. Möjligheten att ha två brevmallar öppna parallellt har begränsats för att den förifyllda informationen inte ska hamna i fel mall.
Vid inloggning på Mina sidor hämtas relevanta händelser upp från systemet för att kunna visas. Informationen (t.ex. ett brev) visas sedan som en klickbar länk med en PDF-symbol. Det är först när den inloggade personen klickar på länken till brevet som handlingen visas. I samband med detta görs även en kontroll att den inloggade personen har samma personnummer, som brevets mottagare. Om personnumren inte stämmer, visas inte brevet.
Även beträffande inskanningen har tekniska åtgärder vidtagits. Exempelvis har utökade kontroller av personnummer införts för blanketter med känsliga personuppgifter. Förändringen infördes i oktober 2019 och Försäkringskassan har därefter kunnat se en kraftig minskning av antalet personuppgiftsincidenter kopplade till skanningen. Sedan februari 2021 har Försäkringskassan successivt börjat utföra skanningen i egen regi i stället för genom en extern aktör och vid årsskiftet förväntas all skanning ske hos kassan. Förändringen syftar till att skapa förutsättningar för en förbättrad kvalitet då det blir möjligt att verifiera uppgifterna i underlagen mot kassans handläggningssystem och därmed minimera riskerna för fel.
Några tekniska lösningar som helt förhindrar felaktig handläggning är inte möjliga att ta fram, eftersom de skulle leda till minskad användbarhet i systemet och därmed ökad användning av lokala utskick.
I november 2020 implementerades ett nytt verktyg för incidenthantering. Tidigare fanns två skilda verktyg – ett för verksamhetsincidenter och ett för IT-incidenter. Det nya verktyget underlättar för cheferna som incidentägare att analysera, avhjälpa och förebygga att liknande incidenter inträffar igen.
Försäkringskassan har även vidtagit en rad organisatoriska åtgärder. Försäkringskassan har reviderat riktlinjerna för central eller lokal utskrift (se ovan). Ändringarna började gälla den 20 april 2020 och innebär att central utskrift alltid ska användas för skriftlig formell kommunikation om det inte finns ett definierat avdelningsspecifikt undantag. Om lokal utskrift behöver användas i en situation för vilken det inte finns något undantag ska det alltid stämmas av med närmaste chef.
Rutinerna för hantering av personuppgiftsincidenter uppdaterades i juli 2020. Rutinerna är en del av dokumentet Handledning för hantering av säkerhetsinincidenter som omfattar alla incidenter inom områdena person, information samt fastighet och egendom. Handledningen vänder sig till alla medarbetare, konsulter och uppdragstagare inom Försäkringskassan.
En ny utbildning om central utskrift har tagits fram. I utbildningen betonas vikten av att förhandsgranska utskick särskilt noga för att säkerställa att bilagorna avser rätt person. Vidare finns en ny säkerhetsutbildning för nyanställda.
Rättsliga utgångspunkter
EU:s dataskyddsförordning gäller som svensk lag sedan den 25 maj 2018. Den kompletteras av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och för Försäkringskassans del av bestämmelser i 114 kap. socialförsäkringsbalken (SFB) och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration.
I artikel 5 i dataskyddsförordningen anges principerna för behandling av personuppgifter. Av artikel 5.1 framgår bl.a. krav på att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade, att uppgifterna ska vara riktiga samt att de ska behandlas med integritet och konfidentialitet. För att behandlingen av uppgifterna ska vara laglig krävs även att det finns en tillämplig rättslig grund enligt artikel 6.1 i förordningen. Behandlingen är laglig bl.a. när den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller som ett led i dennes myndighetsutövning. Av dataskyddslagen följer att den rättsliga förpliktelsen kan följa bl.a. av lag eller annan författning (2 kap. 1 §).
Behandling av känsliga personuppgifter – exempelvis uppgifter om hälsa – är som huvudregel förbjuden enligt artikel 9.1 i dataskyddsförordningen. Förbudet gäller dock inte under vissa särskilt angivna förhållanden enligt artikel 9.2. Av dataskyddslagen framgår att behandling av känsliga personuppgifter är tillåten hos en myndighet bl.a. när uppgifterna lämnats till myndigheten och behandlingen krävs enligt lag samt när behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 §).
Försäkringskassan får även med stöd av 114 kap. 11 § SFB behandla känsliga personuppgifter om de lämnats till myndigheten inom socialförsäkringens administration i ett ärende eller är nödvändiga för handläggningen av ett ärende. Vidare får känsliga personuppgifter om hälsa behandlas för vissa i 114 kap. 7 § närmare angivna ändamål, bl.a. för att tillgodose behovet av underlag för att kunna bedöma den registrerades rättigheter och skyldigheter i fråga om förmåner och ersättningar. Av 114 kap. 6 § framgår att dataskyddslagens bestämmelser är subsidiära till bestämmelserna i 114 kap. och förskrifter som har meddelats i anslutning till kapitlet.
För behandling av personuppgifter i socialförsäkringsdatabasen finns särskilda bestämmelser i 114 kap. 14–16 §§ SFB. I databasen får endast sådana personuppgifter behandlas som avser personer som omfattas eller har omfattats av verksamhet enligt vissa ändamål i 114 kap. 7 §, eller för personer om vilka uppgifter på annat sätt behövs för handläggningen av ett ärende. Känsliga personuppgifter får behandlas i databasen om det särskilt anges i lag eller förordning. För behandlingen gäller även de begränsningar som följer av 114 kap. 11 § (se ovan). Vidare får uppgifter i en handling som kommit in i ett ärende behandlas i databasen även om de utgör känsliga personuppgifter.
Den registrerade får ha direktåtkomst till sådana personuppgifter om sig själv i socialförsäkringsdatabasen som får lämnas ut till denne. Vid sådan direktåtkomst ska den registrerades identitet kontrolleras genom en säker metod för identifiering. (Se 4 § förordningen, 2003:766, om behandling av personuppgifter inom socialförsäkringens administration.)
Kraven på integritet och konfidentialitet enligt artikel 5.1 i dataskyddsförordningen hör samman med vissa säkerhetskrav i artikel 32. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som personuppgiftsbehandlingen medför, i synnerhet till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 32.2). Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen genomförs i enlighet med förordningen (artikel 24.1). Dessa åtgärder ska ses över och uppdateras vid behov. Av artikel 25 följer att åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper och för integrering av de nödvändiga skyddsåtgärderna i behandlingen. Åtgärderna ska även säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
Vid en personuppgiftsincident ska den personuppgiftsansvarige enligt artikel 33 utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha fått vetskap om incidenten anmäla den till behörig tillsynsmyndighet, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om den risken tvärtom sannolikt är hög ska den personuppgiftsansvarige enligt artikel 34 utan onödigt dröjsmål informera den registrerade om incidenten.
Försäkringskassans uppgifter om enskilda på socialförsäkringens område kan vara skyddade av sekretess enligt i första hand 28 kap. offentlighets- och sekretesslagen (2009:400).
Justitiekanslerns bedömning
Att Försäkringskassan följer upp rapporterade personuppgiftsincidenter möjliggör för myndigheten att bli förtrogen med de typer av fel som är vanligast förekommande och vad felen beror på. Sådan kännedom är förstås nödvändig för att kunna åtgärda fel och brister i syfte att undvika fortsatta incidenter. Mot den bakgrunden ser Justitiekanslern positivt på att kassan lagt ned ett omfattande arbete på att följa upp de incidenter som rapporterats.
Ett stort antal felutskick och felpubliceringar av känsliga personuppgifter har dock inträffat under flera år och har fortsatt att inträffa även efter att åtgärder vidtagits. Eftersom problemen delvis kvarstått har vidtagna åtgärder inte varit tillräckliga. Som Försäkringskassan visserligen har påpekat i sitt yttrande bör inte felen inträffa om handläggarna följer de rutiner som gäller i olika avseenden. Det råder heller ingen tvekan om att kassan gjort tämligen omfattande insatser för att utbilda sin personal både om handläggningsrutiner och säkerhetsrutiner av olika slag. Vidare har tekniska åtgärder vidtagits som ska underlätta för handläggaren att undvika fel vid bilagering, adressering och annat. Så länge problemen inte är helt avhjälpta finns det dock anledning för kassan att fortsätta sitt arbete.
Det framstår vidare som att de digitala systemen fortfarande inte är helt optimala. Samtidigt är det förståeligt att det inte går att skapa en teknisk lösning som helt eliminerar inslaget av manuell hantering – som av kassan identifierats som en riskfaktor vid felutskick och felpubliceringar. Justitiekanslern förutsätter dock att det pågående förbättringsarbetet fortsätter vad gäller såväl utvärdering som avhjälpande.
Den rutin för hantering av personuppgiftsincidenter som Försäkringskassan gett in i samband med sitt yttrande innehåller bl.a. krav på att följa upp en incident – så att de direkta åtgärder som beslutats faktiskt blir vidtagna – och krav på att återkoppla till incidentutredare. Handledningen har även detaljerade krav på ansvar, diarieföring och information som ske ges till andra funktioner. Justitiekanslern kan däremot konstatera att den rutin för hantering av personuppgiftsincidenter för Försäkringskassan som gällde i december 2018 saknade flera av dessa delar (se aktbilaga 7 i Justitiekanslerns ärende 5621-18-2.1).
Att hantera inträffade personuppgiftsincidenter på ett korrekt och ändamålsenligt sätt är en viktig del i det förebyggande arbetet för att motverka framtida incidenter. Bristfällig dokumentation riskerar exempelvis att leda till att inträffade incidenter inte åtgärdas på ett korrekt sätt eller tas till vara i det förebyggande arbetet. Att Försäkringskassan uppdaterat och utvecklat sina rutiner för personuppgiftsincidenter är förstås positivt. Även i detta avseende framstår det dock som att det tagit väl lång tid att ta fram ändamålsenliga rutiner.
Sammantaget anser Justitiekanslern att Försäkringskassan som helhet – med hänsyn till bl.a. tekniska åtgärder, reviderade riktlinjer och utbildningsinsatser – gjort ett i slutändan gott arbete med att följa upp, utvärdera och åtgärda de brister som föranlett felutskick och felpubliceringar av känsliga personuppgifter. Det skriftliga materialet i form av riktlinjer, säkerhetsregler m.m. som kassan presenterat i ärendet framstår också som genomtänkt och adekvat.
Försäkringskassan har dock enligt Justitiekanslern mening inte varit tillräckligt proaktiv i sitt arbete med att förhindra personuppgiftsincidenter. Ett stort antal incidenter hade hunnit inträffa och rapporteras under ett par års tid innan åtgärder vidtogs. Åtminstone i de ärenden som kommit under Justitiekanslerns och JO:s bedömning har det handlat om känsliga – och dessutom sekretesskyddade – personuppgifter, vilket gör problemet allvarligt. Justitiekanslern har visserligen under det senaste året noterat en betydande minskning av inkomna ärenden som rör personuppgiftsincidenter hos kassan av detta slag. Enligt uppgift från JO har samma förändring konstaterats i inflödet hos den myndigheten. Det visar att kassans åtgärder numera fått genomslag. Detta till trots måste konstateras att åtgärderna tagit för lång tid att genomföra och inte i alla delar varit tillräckliga. De allvarliga personuppgiftsincidenter som under en tid fortsatte att inträffa borde ha kunnat undvikas. I det avseendet förtjänar Försäkringskassan därför viss kritik.
Med dessa uttalanden avslutas ärendet.