2010 granskade Datainspektionen hur länsstyrelsen i Västra Götalands län hanterar personuppgifter. Myndigheten riktade då kritik mot att alla användare kunde komma åt alla handlingar som inte var sekretessbelagda, när det istället bör vara så att respektive användare enbart ska komma åt de uppgifter som behövs för att kunna lösa de egna arbetsuppgifterna.
Datainspektionen var även kritisk till hur länsstyrelsen publicerade uppgifter i det webbdiarium som kan nås av allmänheten.
Nu har Datainspektionen granskat landets övriga 20 länsstyrelser.
– Tyvärr finns flera av de brister som vi upptäckte hos Västra Götaland även hos övriga länsstyrelser, säger Maria Karlströms som lett Datainspektionens granskning, i ett pressmeddelande.
Vanliga fel är att det saknas behörighetsstyrning i IT-systemen som säkerställer att respektive anställd enbart kan komma åt personuppgifter som behövs för de egna arbetsuppgifterna. Det saknas även kontrollmekanismer i IT-systemen för att upptäcka och beivra obehörig åtkomst.
Datainspektionen riktar även kritik mot att länsstyrelserna saknar rutiner som säkerställer att de på sina webbplatser inte publicerar så kallade känsliga personuppgifter eller personuppgifter som direkt pekar ut enskilda i ärenden som rör brott.
– För all offentlig verksamhet där man publicerar personuppgifter på Internet i exempelvis diarier är det mycket viktigt att ha fungerande rutiner som säkerställer att bland annat känsliga personuppgifter och uppgifter som rör brott tas bort innan publicering, säger Maria Karlströms.
Datainspektionen har sammanfattat sina iakttagelser och tagit fram en vägledning för länsstyrelserna.
Foto: Datainspektionen
