När Södertälje kommun började bakgrundskontrollera sina tusentals anställda var det historiskt – aldrig tidigare hade en kommun kontrollerat ett så stort antal anställda för brott. Många kommuner runtom i landet har visat intresse för bakgrundskontrollerna och följer nu utvecklingen i Södertälje.

Avtal saknades i ett år

SVT Nyheter kan nu avslöja att ett viktigt avtal mellan kommunen och det säkerhetsföretag som skulle utföra jobbet saknades när kontrollerna började genomföras den 18 maj 2022. ”Personuppgiftsbiträdesavtalet” som enligt lag måste finnas eftersom det reglerar ansvaret för personuppgifterna.

Det tog nästan ett år innan avtalet var på plats.

– Den här behandlingen är extremt olämplig och olaglig skulle jag bedöma utifrån min erfarenhet, säger Monika Wendleby, ledande expert inom dataskyddslagstiftning.

Ansvaret för personuppgifter på de anställda inom kommunen och de kommunala bolagen, 8 471 stycken, överlämnades till säkerhetsbolaget på en USB-sticka. ”Vårdslöst”, menar Monika Wendleby.

Hör henne och mer om SVT:s granskning i videon ovan.

Riskabelt om databas hackas

– Om en incident inträffar, till exempel att en databas hackas eller att ett USB-minne tappas bort, är det den ansvarige som ska rapportera incidenten och hantera konsekvenserna. Om biträdesavtalet inte finns på plats finns inga tydliga krav på leverantören. Vilket kan göra att incidenter inte hanteras eller hanteras för sent, menar hon.

Kontrollerna har anmälts till JO, Justitieombudsmannen, som ska bedöma om de är lagliga eller inte.

– Vi har absolut sett att det finns proportionalitet i att införa bakgrundskontroller, vi ser att vi behöver stärka skyddet för barn, äldre och funktionsnedsatta, säger Elof Hansjons (S).

Är du kommunanställd i Södertälje och en av dem som drabbats av bakgrundskontrollerna? Hör av dig till oss på clara.fritzon@svt.se.