Försäkringskassan fortsätter att skicka känsliga uppgifter fel

FÖRSÄKRINGSKASSAN2022-02-03
Justitiekanslern, JK, riktar efter en tillsyn kritik mot Försäkringskassan för att myndigheten inte gjort tillräckligt för att komma till rätta med felutskick och felpubliceringar av känsliga personuppgifter.

Både JK och Justitieombudsmannen, JO, har de senaste åren upprepade gånger kritiserat Försäkringskassan för personuppgiftsincidenter. Det har framför allt handlat om att handlingar som innehållit känsliga personuppgifter – vilka dessutom omfattats av sekretess – skickats till fel person eller publicerats på ett sätt som medfört att fel person fått tillgång till dem. Nu upprepar JK kritiken efter en tillsyn.

Enligt JKs utredning har Försäkringskassan lagt ned ett omfattande arbete på att följa upp personuppgiftsincidenterna. Åtgärderna har omfattat såväl tekniska som organisatoriska åtgärder. Det har handlat om förbättringar i de digitala systemen som används, rutiner för hantering av incidenter, säkerhetsregler och utbildningsinsatser. Men JK är fortsatt kritisk mot att åtgärderna inte varit tillräckliga och vidtagits för sent.

JK har i ett antal ärenden som rör Försäkringskassans hantering av personuppgifter beslutat om skadestånd till personer som drabbats av att myndigheten skickat handlingar med känsliga personuppgifter till fel person eller publicerat sådana personuppgifter på fel persons Mina sidor. JO har också vid flera tillfällen uttalat kritik eller i vissa fall allvarlig kritik mot Försäkringskassan för felutskick och andra brister i hanteringen av sekretesskyddade uppgifter, konstaterar JK i sitt beslut.

Före december 2017 berodde ett antal personuppgiftsincidenter på tekniska brister i myndighetens utskriftssystem. Men också sedan detta åtgärdats har misstag enligt JK fortsatt att förekomma. Därför beslutade JK att inleda ett särskilt tillsynsärende för att undersöka vilka åtgärder Försäkringskassan vidtagit. Det är den tillsynen som nu resulterat i att JK på nytt riktar kritik mot myndigheten.

För 2019 rapporterades 2 247 incidenter, varav 369 anmäldes till dåvarande Datainspektionen, nuvarande Integritetsskyddsmyndigheten. Under 2020 var antalet 2 310 varav 337 anmäldes vidare. De flesta incidenter bestod i att handlingar med känsliga personuppgifter skickats till fel person eller publicerats på fel persons Mina sidor. Det har således enligt JK handlat om obehörigt röjande och obehörig spridning av känsliga personuppgifter.

Eftersom problemen delvis har kvarstått har vidtagna åtgärder inte varit tillräckliga, konstaterar JK:

”Försäkringskassan har dock enligt JKs mening inte varit tillräckligt proaktiv i sitt arbete med att förhindra personuppgiftsincidenter. Ett stort antal incidenter hade hunnit inträffa och rapporteras under ett par års tid innan åtgärder vidtogs. Åtminstone i de ärenden som kommit under JKs och JOs bedömning har det handlat om känsliga – och dessutom sekretesskyddade – personuppgifter, vilket gör problemet allvarligt”, skriver JK i sitt beslut.

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

Innehållet i detta fält är privat och kommer inte att visas offentligt.
Genom att trycka på "Skicka" godkänner jag att mitt inlägg kan publiceras på webben och i papperstidningen. Redaktionen förbehåller sig rätten att granska och redigera kommentarer på samma sätt som insändare. Publicering sker först sedan inlägget granskats. Detta sker normalt under kontorstid. Publikt publicerar inte inlägg som innehåller personangrepp. Inte heller publiceras inlägg som handlar om något annat än ämnet för artikeln.