”Enskilda har rätt att ställa väldigt höga krav på polisen när vi behöver hantera deras information, så det här är en allvarlig brist”, säger polisens dataskyddsombud Mattias Råbe. Foto: Izabelle Nordfjell/TT/Martin von Krogh

Stora mängder polismejl skickades fel av misstag – känsliga uppgifter röjdes

Uppdaterad
Publicerad

Internkommunikation mellan polisanställda, känsliga uppgifter och sekretessbelagda dokument. SVT Nyheter kan i dag avslöja att över hundra e-postmeddelanden som var ämnade för Polismyndigheten i stället hamnat hos en privatperson – i form av felskickade mejl.

Såväl poliser som andra myndighetsanställda och privatpersoner har sedan över tre år tillbaka skickat stora mängder e-post till en okänd mottagare, i tron om att de mejlat polisen.  

I själva verket har meddelanden hamnat hos en privatperson, som registrerat en domän vars stavning liknar polisen.se. Detta genom att personen satt upp en funktion som gör att man automatiskt tar emot alla meddelanden oavsett vad som står framför @-tecknet, en så kallad catch-all-adress. 

Sensommaren 2018, drygt 1,5 år efter att de första felstavade mejlen börjat komma, hörde personen bakom adressen själv av sig till polisen - och de fick vetskap om problemet.

– Jag tycker att det är lite olyckligt för det har fått vissa konsekvenser. Det har ökat risken för att information hamnar på fel ställe, säger polisens dataskyddsombud Mattias Råbe. 

”En allvarlig brist”

SVT Nyheter har genom en källa tagit del av en stor mängd av den felskickade e-posten. Det rör sig allmänna frågor och privata meddelanden men också mejl av betydligt känsligare karaktär: Information om brott, brottsoffer och misstänkta, andra utsatta personer, pågående förundersökningar hos polisen, personnummer och sekretessklassade uppgifter och dokument. 

– Enskilda har rätt att ställa väldigt höga krav på polisen när vi behöver hantera deras information, så det här är en allvarlig brist, säger Råbe. 

I den anmälan om personuppgiftsincident som polisen gjorde till Datainspektionen i september 2018 skriver man att det rör sig om över 50 mejl som skickats från myndigheten varav cirka 10 innehåller ”integritetskänslig information, till exempel ansökan om kontaktförbud, ett underrättelseuppslag och fotografier på misstänkta personer från en övervakningskamera”. 

SVT Nyheter har träffat Maria vars ansökan om kontaktförbud skickades fel inom polisen. 

- Jag känner mig förbannad. Man är redan i ett så jobbigt läge, och då tycker jag att polisen ska hantera det på rätt sätt och göra det de kan i stället för att förvärra ännu mer, säger hon. 

”Låter väldigt läskigt”

Men det är inte bara polisanställda som har slarvat på tangenterna och skickat oskyddade, känsliga mejl åt fel håll. Exempelvis har olika anställda vid Åklagarmyndigheten mejlat både en anmälan om kontaktförbud och vid minst två tillfällen de senaste åren även veckolistor med journummer till advokater och domare, med sekretesskyddade telefonnummer. 

– Det är känsliga uppgifter. Det låter väldigt läskigt om det går fram, säger den anställde på Åklagarmyndigheten som har skickat jourlistorna. 

Polisen har sedan det hela uppdagades vidtagit en rad åtgärder och spärrat den aktuella domänen för utgående e-post.  

Åtgärderna har dock inte hindrat andra myndigheter, företag och privatpersoner från att fortsätta mejla en felstavad polisen-adress utan att få ett felmeddelande. SVT Nyheter har tagit del av felskickade mejl daterade så sent som den 15 januari i år, alltså ett och ett halvt år efter att polisen fått kännedom om problemet.

Efter att SVT har ställt frågor till polisen om detta har myndigheten gått ut med ett pressmeddelande där man skriver att polisen inlett en förundersökning om misstänkt dataintrång samt anmält händelsen till Datainspektionen. 

Så fungerar en catch-all-adress

En ”catch-all”-adress är avsedd för att fånga in all e-post som skickas till icke-existerande adresser under en specifik domän (webbplats). 

Funktionen säkerställer att mejl som skickats till en felaktig e-postadress kommer fram ändå genom att de automatiskt vidarebefordras till ett förvalt e-postkonto.

Det är den valda e-postadressen som mejlen går till som också brukar kallas för en catch-all-adress.

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.