På torsdagsmorgonen meddelade polisen via ett pressmeddelande att man också inlett en förundersökning om misstänkt dataintrång, efter det som framkommit när SVT Nyheter har granskat och börjat ställa frågor om händelsen.
SVT Nyheter kan avslöja att över hundra mejl som skulle ha gått till polisen har skickats till en okänd mottagare, på grund av att avsändaren har stavat fel på ordet “polisen”. Mejlen har kommit från polisanställda men även andra myndigheter och privatpersoner.
- Det beror på att det har varit möjligt att registrera ett domännamn som är så pass likt polisen att det lätt blir fel, och på det en mänsklig faktor, säger polisens dataskyddsombud Mattias Råbe.
”Skarp information”
I september 2018 gjorde polisen en anmälan om personuppgiftsincident till Datainspektionen efter att den fått information om “felskickade epost i stora mängder”, som i stället för att gå till myndigheten hamnat hos en utomstående mottagare.
Polisen gjorde då bedömningen att det rörde sig om ett 50-tal e-postmeddelanden som av misstag skickats ut enbart från den egna myndigheten till den snarlika polisen-adressen - från det att den registrerades under våren 2016 till dess att det kom till polisens kännedom i mitten av augusti 2018.
– Mestadels är det ganska harmlös information mellan kolleger men det fanns några ärenden där det var skarp information om pågående ärenden hos polisen om utomstående personer, säger Mattias Råbe.
”Är så klart allvarligt”
I anmälan till Datainspektionen skriver polisen också att cirka 30 mejl innehåller uppgifter om utomstående personer varav “cirka 10 av dessa bedöms innehålla integritetskänslig information, t.ex. ansökan om kontaktförbud, ett underrättelseuppslag och fotografier på misstänkta personer från en övervakningskamera”.
– Det är så klart allvarligt, både för de här enskilda personerna som den här informationen rör men också för myndighetens verksamhet.
Enligt Råbe gjordes en ordentlig utredning av det inträffade. Polisen vidtog också en del tekniska åtgärder, bland annat spärrades utgående e-post till den aktuella domänen och andra myndigheter informerades om problemet.
”Gör man rätt så blir det rätt”
Är det tillräckligt tycker du?
– Det kan man fråga sig. Genom att vi anmält det till Datainspektionen så har de möjlighet att inleda en granskning och föreslå att vi ska vidta ytterligare åtgärder och det har de inte gjort i det här fallet.
– Internt inom polisen har vi en väldigt hög IT-säkerhet så gör man rätt så blir det rätt.
Under hösten har ytterligare internetdomäner med snarlika stavningar av polisen.se registrerats, vilket gett utomstående utan behörighet tillgång till ytterligare information som berör polisen. Det är med anledning av detta som polisen nu startat en förundersökning.