Polismyndigheten, e-post

IMY riktar kritik mot polisens e-posthantering och konstaterar att det funnits brister som gjort att mejl, som i vissa fall innehållit uppgifter om misstänkt och brottsoffer, skickats till obehörig person.

I såväl dataskyddsförordningen som brottsdatalagen finns en skyldighet för verksamheter att i vissa fall anmäla personuppgiftsincidenter till IMY. Myndigheten har tagit emot två anmälningar om personuppgiftsincidenter enligt brottsdatalagen från Polismyndigheten, som båda avsåg e-postmeddelanden som oavsiktligt hade skickats till obehörig person. Enligt polisen innehöll vissa av dessa mejl integritetskänsliga personuppgifter, som exempelvis uppgift om misstänkt och brottsoffer.

IMY har granskat orsaken till de beskrivna personuppgiftsincidenterna, om polisen har tillräckliga rutiner för när personuppgifter får skickas via e-post samt om polisen i övrigt har vidtagit lämpliga åtgärder för att liknande incidenter inte ska upprepas.

Av polisens svar till IMY framgår att bakgrunden till incidenterna huvudsakligen varit att e-postmeddelanden av misstag har skickats till obehörig mottagare genom att anställda vid myndigheten råkat stava fel på ”@polisen.se” när mottagaradressen har angetts. Enligt polisen har en utomstående person registrerat internetdomäner med snarlika stavningar till polisen.se och på så sätt tagit del av e-postmeddelanden som alltså egentligen varit avsedda till polisanställda.

I beslutet från granskningen konstaterar IMY att polisen brutit mot brottsdatalagen.

Polisen har under utredningens gång infört nya åtgärder för att minska risken för att det som inträffat kan ske igen. I sitt beslut lyfter dock IMY fram att det finns en risk att dessa åtgärder inte är tillräckliga och rekommenderar polisen att vidta ytterligare åtgärder för att höja skyddsnivån.