Fel av SJ använda riktiga personuppgifter då IT-system testades
Integritetsskyddsmyndigheten har tagit emot ett klagomål som gör gällande att SJ har använt riktiga personuppgifter vid test av ett IT-system. Detta har lett till att det felaktigt tagits en kreditupplysning på personen som lämnat klagomålet och att denne vid ett antal tillfällen har fått biljetter och fakturor skickade till sig.
Myndighetens granskning visar att SJ gjort fel som använt riktiga personuppgifter vid testerna.
I sitt beslut påpekar Integritetsskyddsmyndigheten att man så långt det är möjligt bör använda fingerade eller avidentifierade personuppgifter vid tester, att testmiljö och produktionsmiljö bör vara tydligt åtskilda och att det ska finnas rutiner på plats som förhindrar att testhandläggare av misstag utför åtgärder i produktionsmiljön.
- I de situationer personuppgifter används i testmiljön gäller samma regler som i produktionsmiljön. Detta innebär att instruktioner till användare, behörigheter, loggar, loggkontroller och IT-säkerhet ska gälla även för personuppgifter som behandlas i testmiljön, säger Integritetsskyddsmyndighetens jurist Evelin Asplund.
Integritetsskyddsmyndigheten konstaterar dock att SJ nu vidtagit åtgärder som gör att felet inte ska kunna upprepas.