Justitieombudsmannen, 2016-2448

Beslutsdatum: 2017-01-18
Pub. beteckning: JO 2017
Målnr/Dnr: 2016-2448
Organisationer: Inspektionen för vård och omsorg

Sammanfattning

IVO fick kritik sedan myndigheten i ett ärende skickat e-post med känsliga personuppgifter som
omfattade av socialtjänstsekretess på ett sätt som inte var säkert samt för att av misstag ha skickat
meddelandet till fel mottagare. För att kunna skicka känsliga personuppgifter via e-post krävs att
särskilda säkerhetsåtgärder vidtagits, såsom kryptering.

Kommentar

I en anmälan till JO framförde en kvinna klagomål mot en handläggare vid Inspektionen för vård och
omsorg (IVO). Kvinnan anförde följande. Handläggaren hade av misstag skickat ett mejl med uppgifter
om hennes dotter till en utomstående person. Mejlet skulle ha skickats till henne (kvinnan). Felet
upptäcktes när mottagaren av mejlet kontaktade IVO. IVO vägrade att lämna uppgifter till henne om
vem som hade mottagit mejlet.

IVO anförde sammanfattningsvis följande. Uppgifter som omfattades av sekretess hade hanterats
felaktigt. IVO hade dock inte någon skyldighet att tillhandahålla uppgifter om den felaktiga mottagaren
till den berörde enskilde. IVO hade som rutin att sekretesskyddade uppgifter endast skulle skickas
via rekommenderade försändelser. Vid kommunicering per epost skulle sekretesskyddade uppgifter
utelämnas eller maskas. Handläggaren har vid det aktuella tillfallet frångått rutinen. Det var fråga om
ett enstaka misstag. Rutinerna skulle ses över.

JO gjorde följande bedömning.

"En myndighet som hanterar sekretesskyddade uppgifter måste ha väl fungerande rutiner som så långt
det är möjligt säkerställer att uppgifterna inte kommer obehöriga personer till del. Det ställs höga krav
på säkerhet vid överföring av uppgifter som omfattas av sekretess.

Genom att skicka mejlet till fel mottagare har IVO röjt sekretesskyddade uppgifter om [kvinnans] dotter
för en utomstående person. Detta är naturligtvis allvarligt.

Jag vill också uppehålla mig vid den omständigheten att sekretesskyddade uppgifter skickades via
mejl.

JO har i tidigare beslut behandlat frågan om huruvida sekretessbelagda handlingar kan skickas via
mejl (se JO 2016/17 s. 333, dnr 1376-2013 och JO:s beslut den 21 mars 2016, dnr 6098-2014). I
besluten har JO uttalat bl.a. följande: Om den enskilde vill att myndigheten ska kommunicera med
honom eller henne per mejl bör detta kunna göras under vissa förutsättningar. När ett mejl innehåller
känsliga uppgifter krävs särskilda säkerhetsåtgärder för att säkerställa att rätt person far åtkomst till
uppgifterna och att de överförs på ett säkert sätt (t.ex. genom kryptering). Mejl av enklare slag, som
inte innehåller personuppgifter som är känsliga ur integritetssynpunkt, bör emellertid kunna skickas
även utan kryptering eller liknande.

Det aktuella mejlet innehöll sekretesskyddade uppgifter som inte var krypterade. Om en tillfredstäl-
lande säkerhetsnivå inte kan upprätthållas bör den typen av uppgifter inte skickas via mejl. IVO förtjänar
därför kritik även för att uppgifterna om [kvinnans] dotter över huvud taget skickades via mejl.

[Kvinnan] har vidare anfört att hon vid telefonsamtal med handläggaren bl.a. frågade var mottagaren
av mejlet bodde och att myndigheten inte besvarade hennes fråga. IVO har uppgett att handläggaren
som svar på frågan uppgav att hon endast kände till mottagarens namn och mejladress samt att
handläggaren fick uppfattningen att [kvinnan] inte begärde ytterligare uppgifter. Utredningen i ärendet
har inte klarlagt vad som sades vid telefonsamtalet. Jag har därmed inte underlag för att uttala mig om
myndighetens hantering i denna del.

Sammanfattningsvis får IVO kritik för att sekretesskyddade uppgifter skickades via mejl på ett sätt
som inte var säkert och för att mejlet skickades till fel mottagare, vilket medförde att sekretesskyddade
uppgifter röjdes för en utomstående person.

Jag noterar att IVO har vidtagit åtgärder för att förhindra att något liknande inträffar igen.

Ärendet avslutas."

[Avgörandet i detta referat har skett utifrån andra rättsregler än nu gällande, men referatet har alltjämt
bedömts ha relevans. Hänvisningar till lagrum i rättsdatabasen - som avses spegla gällande rätt - sker
till motsvarande lagrum i nu gällande författningar. Anmärkning av Infosoc Rättsdata AB.]