SVT Nyheter kunde under torsdagen avslöja att polisen och andra myndigheter har råkat skicka intern e-post och känslig information till en okänd mottagare, på grund av att anställda har stavat fel på polisen.se när de mejlat.
Efter att polisen under sensommaren 2018 blev informerade utreddes vad som skett och myndigheten gjorde en anmälan till Datainspektionen om personuppgiftsincident. Myndigheten vidtog också en rad interna åtgärder och informerade även andra myndigheter.
Trots det har feladresserade mejl med personuppgifter, och även sådant som omfattas av banksekretess, skickats från bland annat Kriminalvården, Skatteverket, Kustbevakningen och Handelsbanken till en okänd mottagare under det senaste halvåret.
”Tar allvarligt på det här”
I juni 2019 skickade en handläggare på Kriminalvården en transportplan med uppgifter om en kommande avvisning av två personer till Thailand till fel polisen-adress. Detta flera dagar innan den skulle genomföras.
– Det är allvarligt, något annat kan vi inte säga, säger säkerhetschefen Jörgen From Nordin.
En månad senare stavade en anställd på Kustbevakningen fel och skickade omkring 50 mejl med besättnings- och passagerarlistor till fel inkorg.
– Vi tar allvarligt på det. Det ska inte gå till på det sättet. Men det är ett litet misstag som har fått de här konsekvenserna, säger Mattias Lindholm, presstalesperson hos Kustbevakningen.
SVT Nyheter har tagit del av dokumenten och kan läsa över 2 000 personers födelsedatum, passuppgifter, och för personal även befattning.
I slutet av oktober förra året skickade Skatteverket en personallista med namn och personuppgifter på anställda vid en restaurang i centrala Stockholm, vilket bedömdes som ”obehörigt röjande” genom felaktigt utskick av e-post. Myndigheten gjorde också en anmälan om personuppgiftsincident till Datainspektionen.
Polisens dataskyddsombud Mattias Råbe säger till SVT Nyheter att det är den mänskliga faktorn som spelar in.
- Vi har gått ut med information till de myndigheter som ligger närmast oss, som oftast skickar integritetskänslig information med e-post krypterad till polisen och uppmärksammat dem på den här problematiken men vi har uppenbart inte nått alla, och det är svårt.
På frågan varför den här typen av kommunikation inte skickas krypterat inom polisen svarar Råbe att den gör det, både inom myndigheten och till andra.
Krävs att man stavar rätt
Svenska myndigheter använder sig av ett slutet nätverk som heter SGSI (Swedish Government Secure Intranet) för att skicka skyddad e-post mellan varandra. Men det förutsätter alltså att mejladressen är rättstavad.
- Stavar du fel på adressaten så kommer det ju inte slussas in i det här nätverket, säger Peter Jonegård, CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB).
CERT-SE är Sveriges nationella ”Computer Emergency Response Team” med uppgift att stödja samhället i arbetet med att hantera och förebygga IT-incidenter. Men ansvaret ligger i slutändan hos användaren, det vill säga avsändaren, menar både Peter Jonegård och IT-säkerhetsexperten Anne-Marie Ekelund Löwinder.
Så det räcker med en bokstav fel för att det ska hamna utanför det säkra myndighetsnätverket?
- Ja, egentligen, en bokstav fel efter snabel-at så kommer det inte in på rätt sätt. Det är tillbaka till användaren att dubbelkolla. Men ska man överhuvudtaget använda e-post om det är känsligt, det är tveksamt, säger Peter Jonegård på CERT-SE.