Ivos verktyg tog bort maskning – skyddade uppgifter röjdes
Enligt it-juristen Daniel Westman kan förfarandet ha brutit mot lagen.
Lyssna: Ivoläcka APP
Inspektionen för vård och omsorg har röjt sekretesskyddade uppgifter efter att ett digitalt verktyg plockat bort maskningen av bland annat namn på enskilda.
Trots att problemen varit kända inom myndigheten så skärptes inte rutinerna kring användningen av verktyget förrän i förra veckan efter att Ekot ställt frågor om saken.
Ivo tonar ned omfattningen men enligt interna dokument har det funnits en ”betydande risk för felhantering”.
– Det är naturligtvis fruktansvärt. Just sådana här känsliga ärenden måste vara skyddade, säger Anki Sandberg, förbundsordförande för patientorganisationen Attention.
Ivo hanterar mängder av dokument som innehåller känsliga uppgifter om enskilda, från bland annat vård och socialtjänst, dokument som måste sekretessprövas varje gång dom ska lämnas ut till exempelvis en journalist, ett företag eller nån från allmänheten.
Namn och adresser
Till sin hjälp har handläggarna ett digitalt maskningsverktyg som gör egna maskningar – men som också visat sig kunna göra motsatsen.
I december fick Ekot ut handlingar kring familjer som varit föremål för socialtjänstens insatser men där både adresser och namn var omaskade – uppgifter som Ivo långt senare upptäckte borde ha maskats.
Kan bryta mot lagen
Ivo har anmält den händelsen till Integritetsskyddsmyndigheten men Ekot kan visa att den inte var ett isolerat misstag. Problemet med det digitala verktyget har diskuterats tidigare, och Ivos presstjänst bekräftar också att man hittat ytterligare ett fall där känsliga uppgifter lämnats ut.
– Det är naturligtvis inte bra eftersom det handlar om väldigt känsliga uppgifter, säger Daniel Westman, jurist specialiserad på it-rätt.
– Är uppgifterna sekretessbelagda så är det ju både ett otillåtet röjande av sekretessbelagda uppgifter men det kan också vara en otillåten behandling av personuppgifter enligt GDPR.
”Känd brist”
Ivo ställer inte upp på någon intervju men skriver till Ekot att de två fall man upptäckt berott på en olycklig kombination av en känd brist i det tekniska systemet och den mänskliga faktorn, att man har förtydligat sina rutiner och att man inte har några indikationer på att det skulle vara ett omfattande problem.
Man skriver också att det inträffade inte varit nåt tekniskt fel utan en ”känd brist”, som leverantören av verktyget numera ska ha åtgärdat.
Samtidigt det finns också en annan bild av vad som hänt.
”Betydande risk”
I ett mejl som skickats ut efter att Ekot börjat ställa frågor, motiveras dom skärpta rutinerna med att det är väldigt svårt att upptäcka att det blir fel när man hanterar mer omfattande dokument, och att det hela utgör en ”betydande risk för felhantering”.
Och i den anmälan som Ivo gjort till Integritetsskyddsmyndigheten beskrivs det hela inte som en känd brist utan som ett tekniskt fel.
– Man förutsätter ju att de har sådana system som är trygga och har man inte det så är det ju ett misslyckande för myndigheten, säger Anki Sandberg från organisationen Attention.