SVT Nyheter har tidigare rapporterat att känslig information från Transportstyrelsen har gjorts tillgänglig för icke säkerhetskontrollerad personal i utlandet när IT-driften outsourcats. Det handlar om hela det svenska registret över körkort, inklusive bilder, men även känslig information om broar, tunnelbana, vägar och hamnar i Sverige.
Enligt Dagens Nyheters källor hanteras fortfarande känsliga uppgifter om svenskars sjukdomar av icke-säkerhetsklassad IT-personal i Rumänien.
Transportstyrelsen har dock inga indikationer på att uppgifter har spridits på ett otillbörligt sätt.
LÄS MER: Alla svenska körkortsfoton läckte till Tjeckien
Förfogar över minst 24 register
Transportstyrelsen har inte berättat exakt vilken information som har hanterats av icke säkerhetsklassad personal i utlandet, och därmed riskerat att hamna i orätta händer.
Enligt blanketten ”Begäran om registerutdrag”, som finns tillgänglig för nedladdning på Transportstyrelsens hemsida förfogar myndigheten över minst 24 register.
Det handlar bland annat om Vägtrafikregistret (som innehåller uppgift om fordon och körkort), Pexo (ett webbaserat examinationssystem för piloter) och Visslarsystemet – som är till för att rapportera misstänkt korruption, mutor eller jäv hos Transportstyrelsen.
LÄS MER: Läkarintyg hanteras av utländsk icke säkerhetsklassad personal
Nästan samtliga har outsourcats
En källa med insyn i myndighetens verksamhet uppger att tjänsteleverantören IBM har tagit helhetsansvaret för leveransen av servrar, det rör sig om över tusen servrar. Det innebär att nästan alla register kan ha hanterats av icke säkerhetsklassad personal i utlandet.
– Nästan alla register har varit med i outsourcingen, säger källan till SVT Nyheter.
LÄS MER: Expert: Därför är Transportstyrelsens läcka så allvarlig
Det finns emellertid undantag, Vägtrafikregistret ska inte ha varit del av outsourcingen.
SVT Nyheter har sökt Transportstyrelsen för att fråga om icke säkerhetskontrollerade tekniker kan ha haft tillgång till de 24 registren och om det finns ytterligare register, men myndigheten säger sig inte ha möjlighet att kommentera saken på onsdag morgon.
– Det är inte bara att gå in och räkna, det är mer komplicerat än så. Jag satte i gång bollen i går kväll och vi kommer jobba med det under dagen i dag, säger Anna Bengtsson, kommunikatör på Transportstyrelsen.
LÄS MER: Så får du veta vem som har dina personuppgifter
Kan vara sekretessbelagda uppgifter
Viktigt att komma ihåg är att den mesta av informationen som Transportstyrelsen hanterar inte är sekretessbelagd, men det kan finnas sekretessbelagda uppgifter i de 24 registren.
– I våra system finns det sekretessbelagda uppgifter och några av dem finns troligen i något av de register som finns på den här blanketten, säger Anna Bengtsson.
Uppgifterna som listas på blanketten skyddas av personuppgiftslagen och personer kan bara begära ut uppgifter om sig själv.
– Du kan inte begära ut uppgifter om någon annan. Uppgifterna skickas inte digitalt utan i pappersform av säkerhetsskäl.
Experten om allvaret
Ann-Marie Eklund Löwinder är kvalitets- och säkerhetschef på Internetstiftelsen. Enligt henne beror allvaret på hur känslig informationen som finns i registren är.
– Om det är känslig information i meningen att det skulle vara ett problem om den kom på avvägar så är det naturligtvis bekymmersamt om man inte har ställt väldigt strikta och konkreta krav på hög säkerhet i den situationen.
Ann-Marie Eklund Löwinder är kritisk till Transportstyrelsens säkerhetstänk.
– Min kommentar är att de har gjort en slarvig upphandling. Det är så det känns spontant. Man har inte riktigt tänkt över riskerna och vilka konsekvenser det kan få för Sverige eller svenska medborgare.
LÄS MER: ”Du kan få skadestånd för läckta uppgifter”
LÄS MER: Läckte uppgifter vid dataupphandling
Registren som finns hos Transportstyrelsen
Vägtrafikregistret Innehåller uppgift om fordon, körkort, yrkes- och taxitrafik, felparkeringsavgifter, trängselskatt, yrkeskompetensbevis samt kör- och vilotider.
Inskrivningsregistret (luftfart) Innehåller uppgifter om ägare till luftfartyg.
Pexo Ett webbaserat examinationssystem för piloter.
PK-registret Register över kontrollerade enligt 14 § säkerhetsskyddslagen.
Lindra/Eccairs Register över händelser inom luftfarten. Samtliga svenska luftfarthändelser diarieförs i LINDRA och kodas in i databasen Eccairs.
ÄHS-Hit Register över händelser inom luftfarten.
EMPIC Ett system som innehåller personuppgifter kopplade till certifikat/tillstånd och medicinintyg inom luftfart samt luftfartyg
Kabinbesättningsregistret (luftfart)
Fartygsregistret
SITS En e-tjänst där redare eller ägare till ett svenskt tillsynspliktigt fartyg kan se vilka uppgifter som Transportstyrelsen registrerat om ens fartyg.
Sjömansregistret Innehåller de uppgifter om mönstring som rapporterats in från fartyg och vilka behörigheter som utfärdats.
Företag Register för administration inom järnväg.
Medicinska dispenser Register för administration inom järnväg.
Kompetens Register för administration inom järnväg.
Historikdatabas Register för administration inom järnväg.
STRADA Register över skador inom vägtransportsystemet.
Utbildarregistret Register över utbildare inom vägområdet.
W3D3 ÄHS Handläggningssystem för körkort.
Agresso Personalregister.
Reachme System för rekrytering.
Kompetensplatsen System för kompetensprofiler och utbildning.
Visslarsystemet Systemet är till för att upptäcka allvarliga oegentligheter inom Transportstyrelsen. Det kan exempelvis vara mutor, bestickning, bedrägeri eller förfalskning. Det kan också handla om allvarliga fall av miljöbrott som Transportstyrelsen gör sig skyldig till eller säkerhetsrisker i Transportstyrelsens arbetsmiljö.
Allmänna diariet, DIDRIK Transportstyrelsens huvuddiarium, där ärenden registreras kronologiskt utifrån när de påbörjades.
MS Active Directory (AD) System för att administrera personalens behörigheter till it-system
Det är outsourcing
Outsourcing står ungefär för ’utläggning av en verksamhet på entreprenad’ och benäms som ett modeord. Det innebär att ett företag eller en myndighet lejt över ett jobb på ett annat företag.
I frågan om IT-skandalen handlar det om att man lejt över IT-ansvaret på företag och tjänster utomlands, vilket inneburit att känsliga svenska uppgifter funnits tillgängliga för andra länder.
Källa: Datatermgruppen