Frågor och svar kring uppgifter i media om vår it-upphandling

Många reagerar över de uppgifter om myndigheten som finns i media med anledning av den information som kommit fram i Säkerhetspolisens förundersökning kring Maria Ågren och myndighetens it-upphandling. Vi har stor förståelse för den oro och de reaktioner som riktas mot oss och vill därför tydliggöra att vi inte har några indikationer som pekar på att uppgifter har spridits på ett otillbörligt sätt.

Vi kommer nu att prioritera att så fort som möjligt fortsätta åtgärda de brister som Säkerhetspolisen (Säpo) har identifierat för att därigenom återuppbygga förtroendet hos vår uppdragsgivare och allmänheten.

Här kan du som medborgare ta del av frågor och svar kring uppgifterna i media om vår it-upphandling:

  • I april 2015 tecknar Transportstyrelsen ett avtal med IBM Sverige om driften av myndighetens IT-system (outsourcing). Avtalet innebär att IBM Sverige ansvarar för att maskinvara, nätverk och program fungerar. Avtalet gäller till och med den 31 oktober 2020 med möjlighet till förlängning. IBM Sverige har underleverantörer utomlands.
  • I samband med outsourcingen till IBM Sverige beslutade dåvarande generaldirektör Maria Ågren under första halvåret 2015 om avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen samt myndighetens egen riktlinje för krav på informationssäkerhet.
  • Under senare delen av 2015 genomför Säpo en tillsyn av myndighetens säkerhetsskydd. Säpos tillsyn avslutades den 16 juni 2017.
  • I januari 2016 inleder åklagare en förundersökning som bygger på säkerhetspolisens tillsynsrapport.
  • Den 19 januari 2017 avskedas Maria Ågren från tjänsten som generaldirektör i Transportstyrelsen.
  • Den 26 juni 2017 får Maria Ågren ett strafföreläggande som innebär dagsböter på grund av vårdslöshet med hemlig uppgift, men utan uppsåt.

– Jag tar det här på största allvar och åtgärder har vidtagits. Det är självklart att vi som myndighet ska följa de lagar, regler och de säkerhetsskyddskrav som gäller inom vårt verksamhetsområde. Vi gör allt för att undvika en sådan här situation framöver, säger Jonas Bjelfvenstam.

När vi först fick information om detta sommaren 2015 påbörjades aktiviteter för att förbättra säkerhetsnivån. Exempel på åtgärder vi har vidtagit: 

  • All utrustning, program och data finns i Sverige och har hela tiden funnits i Sverige. All administration för lagring av data hanteras från juni 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All administration av nätverk hanteras från juli 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All huvudadministration av servrar hanteras från maj 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All administration av applikationsdrift kommer att under hösten 2017 att hanteras av registerkontrollerad och godkänd personal i Sverige. 

Säkerhetspolisen (Säpo) kontaktade oss sommaren 2015 och direkt efter det genomfördes omedelbara akuta åtgärder i syfte att förbättra säkerhetsnivån. Därefter har vi arbetat utifrån en åtgärdsplan med ytterligare åtgärder som måste genomföras. Denna åtgärdsplan har också delgetts Säpo. Vi kan av säkerhetsskäl inte i detalj redogöra för detaljerna i planen. Arbetet är tekniskt komplicerat och omfattande men ska vara åtgärdat senast under hösten 2017.

Vi har bedrivit och bedriver ett omfattande arbete (tillsammans med leverantören) för att komma tillrätta med de brister som påtalats. För att få tilltro krävs det att vi agerar och skyndsamt åtgärdar de brister som vi har kvar. Detta arbete är vår mest prioriterade arbetsuppgift.
Vi har även en ny generaldirektör som ser väldigt allvarligt på det inträffade. Han säger:

- Myndigheten hanterar samhällsviktig information som berör medborgare, företag och andra myndigheter och det är min bestämda uppfattning att vi i alla lägen ska följa de lagar och regler som gäller för myndighetens verksamhet. Något annat är inte acceptabelt.

Vi tycker inte du ska behöva vara det. Vi har vidtagit åtgärder och arbetar fortsatt med att säkerställa att all personal hos underleverantören är registerkontrollerad av Säpo och godkänd enligt svenska krav. Vi har ett pågående arbete med vår driftsleverantör i syfte till att styra om verksamheten där endast svensk säkerhetsgodkänd personal ansvarar för hela driften. Det kommer vara åtgärdat under hösten.

Det mesta av den information som Transportstyrelsen hanterar är öppen, offentlig och inte sekretessbelagd. Av vår instruktion framgår att vi ska svara för register över järnvägsinfrastruktur och järnvägsfordon, luftfartygs- och inskrivningsregistret, fartygs- och sjömansregistret, registrering av avtal om båtbyggnadsförskott och vägtrafikregistret.

Vi har en del information i våra register som är skyddsvärd. Av säkerhetsskäl kan vi inte berätta vad det exakt rör sig om för information. En del av den information som vi hanterar som är känslig och skyddsvärd hanteras på papper och inte digitalt. Vi kan däremot bekräfta att vi inte har tillgång till militärt fordonsregistrer. Vi för inget register med militära piloter, militära flygplatser, militära luftfartyg eller sjöfartyg.

Nej vi har inga militära fordon i våra register. Vi har bara civilregistrerade fordon i våra register. 

Ja, det förekommer personuppgifter som skyddas av olika sekretessregler. Vi kommer inte gå in på närmare på detaljer kring detta på grund av säkerhetsskäl.

Vi har inga indikationer som pekar på att uppgifter spridits på ett otillbörligt sätt så vi ser ingen direkt anledning till oro. Vår driftleverantör är skyldig att följa de bestämmelser som finns i personuppgiftslagen. När vi anlitar någon utomstående för att behandla personuppgifter är denne personuppgiftsbiträde åt Transportstyrelsen. I avtalet anges det att biträdet får behandla personuppgifterna men bara i enlighet med instruktioner från oss för att skydda de personuppgifter som behandlas. Bland annat att uppgifterna inte får behandlas för några andra ändamål samt att uppgifter inte får spridas till obehöriga. Transportstyrelsen har i enlighet med personuppgiftslagen skrivit ett sådant avtal med leverantören i det här fallet redan 2015-04-14.

Vi har inga indikationer på att några uppgifter har spridits felaktigt. Det finns inget som talar för det. Transportstyrelsen har ytterligare intensifierat sitt arbete med säkerhetsfrågor och det gäller också hur registerinformationen hanteras. Säkerhetsfrågorna har högsta prioritet för myndigheten och vi har vidtagit åtgärder för att förhindra att det kan ske.

Vi har inga indikationer som pekar på att uppgifter har spridits på ett otillbörligt sätt.

Vi och vår driftleverantör har tillgång till våra databaser. Våra handläggare för att handlägga ärenden, vår driftsleverantör för att se till att systemen rullar och går dygnet runt, året om. Personalen hos vår driftsleverantör är och har varit säkerhetskontrollerad av den egna organisationen och har också fått skriva på sekretessavtal men dessa är inte likvärdiga med en svensk registerkontroll och säkerhetsprövning. Vår driftleverantör är skyldig att följa de bestämmelser som finns i personuppgiftslagen.

Det innebär konkret att vår driftleverantör ansvarar för att se till att maskinvara, nätverk och program fungerar så att de kan användas. Det ska fungera dygnet runt, året om.

All utrustning, program och data finns i Sverige och har hela tiden funnits i Sverige.

 Ja, till viss del är det fortfarande så. Vi har ett pågående arbete med vår driftleverantör med syfte till att styra om verksamheten där endast svensk säkerhetsgodkänd personal kommer ansvara för hela driften. Just nu pågår ett arbete med att påskynda processen med vår driftleverantör och det ska vara genomfört senast hösten 2017.

Nej, databasen med körkortsbilderna driftas i dagsläget av svensk personal som är säkerhetsgodkänd.

Det står bland annat att leverantörens anställda ska följa lagen om offentlighet och sekretess precis som Transportstyrelsens anställda. Alla anställda hos leverantören som är del i leveransen får skriva på ett sekretessavtal. När det gäller uppgifter som omfattas av sekretess gäller bestämmelser enligt gällande sekretesslag.