IVO mejlade okrypterade uppgifter om 1380 personer

Text:Valter Bengtsson Publicerat: Uppdaterat: Nyheter Lästid: cirka 3 minuter
IVO:s logotyp. Foto: Linnea Bengtsson
IVO har rapporterat händelsen till Integritetsskyddsmyndigheten. Foto: Linnea Bengtsson.

IVO har sänt känsliga personuppgifter om 1380 personer via okrypterad e-post till Utbetalningsmyndigheten. Uppgifterna fanns i okrypterad form både på båda myndigheternas e-postservrar.

”Vi har hittills inga uppgifter om att informationen har behandlats av obehörig part”, kommenterar presstjänsten på IVO.

”Alla berörda har fått särskild information”

Så här svarar presstjänsten på frågor från HejaOlika:

Vad var det som hände?
IVO är skyldig att lämna vissa uppgifter till Utbetalningsmyndigheten. I januari 2025 skickade IVO över känsliga personuppgifter till Utbetalningsmyndigheten via e-post. När uppgifterna skickades fanns de i ett okrypterat format på både IVO:s och Utbetalningsmyndighetens e-postservrar.

Vad berodde det på?
Att uppgifterna skickats med okrypterad e-post i stället för att gå med rekommenderat brev beror på den mänskliga faktorn och är ett avsteg från IVO:s rutiner för att skicka personuppgifter.

När inträffade detta?
Under januari 2025.

Hur upptäcktes det?
Det upptäcktes inom myndigheten.

Hur många personer berörs av detta, och vilka grupper?
Det rör uppgifter om 1 380 personer.

Vilken skada bedömer ni kan ha skett, eller skulle kunna ha skett?
IVO har hittills inga uppgifter om att informationen har behandlats av obehörig part.

Hur har ni följt upp detta?
När IVO upptäckte misstaget kontaktades myndighetens dataskyddsombud omedelbart samt berörda chefer. Därefter kontaktade IVO Utbetalningsmyndigheten för att informera om det som skett. IVO bad även Utbetalningsmyndigheten att gallra e-postmeddelandet från deras server för att minimera risken för vidare exponering av personuppgifterna.

IVO inledde även ett internt gallringsarbete för att radera e-postmeddelandet från myndighetens server.

Internt på IVO görs ett arbete för att stärka kunskap om den rutin som reglerar hur personuppgifter får skickas. Incidenten har diskuterats med berörda medarbetare och en checklista som används vid utlämnade av uppgifter ska tas fram.

Incidenten har även rapporterats till Integritetsskyddsmyndigheten.

Samtliga berörda personer har fått särskild information om händelsen.

Finns fortfarande risk att personuppgifter kan spridas?
Nej.

Personer som är oroliga över att ha drabbats, vilket råd ger ni dem?
IVO har informerat samtliga berörda personer om händelsen.

Enligt brevet som IVO sänt ut till berörda personer är det personnummer, namn och organisationsnummer som behandlats okrypterat.

Kommentar från Integritetsskyddsmyndigheten

Integritetsskyddsmyndigheten, IMY, har tagit emot incidentanmälan från IVO, men den är fortfarande under handläggning.

”Vi handlägger dessa i den ordning som de kommit in till oss. Vi har inte tagit något beslut om vi kommer att gå vidare med en granskning, tillsyn, av det som inträffat. Och även om vi skulle fatta beslut nu att inte göra en tillsyn, så kan vi göra det vid ett senare tillfälle”, skriver presstjänsten i ett mejl till HejaOlika.

IMY tar 100-150 anmälningar per vecka. Under hela 2024 tog man emot cirka 6 500 anmälningar.

Valter Bengtsson
Foto: Linnea Bengtsson.

Text av Valter Bengtsson

Chefredaktör och ansvarig utgivare för webbtidningen HejaOlika och papperstidningen Föräldrakraft, sedan starten 2006.

Innehåll från annonsörer