IT-haveriet: Två myndigheter – två slutsatser
PremiumNaturvårdsverket och Länsstyrelsen Jämtland kommer fram till två totalt olika slutsatser av säkerhetsbristerna i databasen Rovbase. Där den sistnämnda ser en risk för att personuppgifter läcks och att jägare utsätts för hot och trakasserier, nämner den förstnämnda inte det med ett ord.
Svensk Jakt har tagit del av Naturvårdsverkets egen utredning och beslut av den så kallade personuppgiftsincidenten, då en profilerad rovdjursförespråkare och jaktmotståndare fick tillgång till hemliga register över jägare som dödat rovdjur.
Beslutet att incidenten inte är något att gå vidare med togs den 11 juli, alltså över tre månader efter att Länsstyrelsen i Jämtland slog larm i ärendet.
En pikant detalj i sammanhanget är att man i beslutsprotokollet anger att incidenten upptäcktes av Naturvårdsverket den 24 april, när det i själva verket var en handläggare på länsstyrelsen i Jämtland som uppmärksammade intrånget en månad tidigare.
Ingen risk enligt NV
I Naturvårdsverkets utredning konstaterar man att det är oklart om sekretessbelagda personuppgifter om jägare röjts. Detsamma framgår av länsstyrelsens anmälan till Datainspektionen.
Men medan länsstyrelsen tar höjd för det värsta och i sin anmälan påpekar att det finns risk för att jägare kan utsättas för hot och trakasserier, anser inte Naturvårdsverket att ärendet behöver anmälas till Datainspektionen.
Ett stort antal befattningshavare har deltagit i Naturvårdsverkets utredning av incidenten. Bland dem Linn Sandmark som är förvaltningsjurist i Generaldirektörens stab, samt Peter Bengtsson som är tillförordnad informationssäkerhetsansvarig, samt chefen för viltanalysenheten Andreas Zetterberg.
Endast om vapen
Vad är det då som gör att Naturvårdsverket tar så mycket lättare på det inträffade än länsstyrelsens experter på IT-säkerhet?
I utredningen som ligger till grund för beslutsprotokollet framgår att Naturvårdsverket ”inte kan se någon konsekvens av händelsen för de registrerade”. Man anser att personuppgifterna i sig inte är känsliga, men att uppgifterna om jägare är känslig eftersom det kan avslöja var det finns vapen.
De risker som länsstyrelsen påpekar i sin anmälan till Datainspektionen, att rovdjursjägare riskerar att utsättas för hot och trakasserier om deras namn sprids, tas inte upp i Naturvårdsverkets utredning.
Ser ingen skaderisk
Vidare, där länsstyrelsen anser att det finns risk för att incidenten medför risk för de registrerades fri- och rättigheter, till exempel genom att de riskerar att utsättas för skadlig ryktesspridning, anser Naturvårdsverket att det är osannolikt att något sådant inträffar.
I utredningen slås det fast att incidenten inte lett till någon skada för de registrerade, och att Naturvårdsverket har vidtagit åtgärder för att ”avhjälpa riskerna” genom att konsulten inte längre har tillgång till databasen, eftersom uppdraget är avslutat.
Betrodd konsult
I beslutsprotokollet – som grundas på den interna utredningen – trycker man på det avtal som upprättades mellan Naturvårdsverket och konsulten i samband med att han fick uppdraget. Eftersom han har skrivit på avtalet har han varit betrodd att hantera uppgifterna i databasen:
”Det har inte framkommit att konsulten har använt personuppgifter på något otillbörligt sätt eller att han ska ha röjt personuppgifter för tredje part.”
Bland annat mot bakgrund av det anser Naturvårdsverket att incidenten inte ska anmälas till Datainspektionen. Inte heller finns det anledning att informera de registrerade om händelsen eftersom det är osannolikt att den leder till en hög risk för deras fri- och rättigheter.
Andra läser också
Kul att du vill följa !
För att följa artiklar måste du vara medlem och inloggad på svenskjakt.se.
Om du är medlem, logga in och följ de ämnen du tycker är intressanta.
Är du inte medlem är du välkommen att teckna ett medlemskap här.