integritet i fokus 1-2012 - datainspektionen · pdf fileer watch. runt 4 000 ... – att...
TRANSCRIPT
Stulen identitetSå här stjäl skurkarna dina personuppgifter
och så här skyddar du dig
”Det är vansinnigt enkelt att stjäla någons identitet.”
Kriminalinspektör Lars Minnedal
Därför har Datainspektionen svårt att ingripa mot bluffakturorna
Får arbetsgivaren läsa din privata e-post?Testa dina kunskaper om vilka regler som gäller i arbetslivet
Datainspektionens tidningnr 2/2012
Integritet i fokus
produceras av Data inspektionen
Box 8114, 104 20 Stockholm
Tfn 08-657 61 00 (växel)
www.datainspektionen.se
Ansvarig utgivare
Göran Gräslund
Redaktör
Per Lövgren
Formgivning
Fredrik Karlsson
Omslag
Litet foto: Martin Agfors.
Tryck
Tryckt hos Ineko AB i Årsta på Ar-
ctic Volume White papper. Mil-
jömärkt trycksak 341142.
ISSN 2000-5857.
Kontakta redaktionen
Har du synpunkter, tips på artiklar
eller frågor om tidningen? Mejla till
Gratis prenumeration
En prenumeration på Integritet i
fokus är gratis. Lättast anmäler du
dig på vår webbplats. Integritet i
fokus kan även laddas ner i pdf-for-
mat från vår webbplats. Tidningen
kommer ut fyra gånger per år.
Besök www.datainspektionen.se
På vår webbplats kan du läsa mer
om integritetsfrågor. Passa även på
att prenumerera på vårt nyhets-
brev så får du pressmeddelanden
och annat aktuellt från Datainspek-
tionen.
Nya fotbollsskor mäter spelarnas prestanda¥ Sportsko- och klädesföretaget Adi-
das har utvecklat en ”intelligent” fot-
bollssko. I skons sula sitter en da-
torkrets som kontinuerligt registrerar
löpt sträcka, antal ruscher, maxhastig-
het, spelintensitet och liknande. Adize-
ro F50 miCoach, som produkten heter,
ska användas vid en fot-
bollsmatch i USA i slu-
tet av juli då lagens
tränare via en surf-
platta i realtid ska
kunna övervaka spelar-
nas prestanda.
Datorchip spårar brasilianska skolelever¥ I Brasilien har 20 000 skolelever i
kommunen Vitoria da Conquista börjat
använda t-shirts som är försedda med
en speciell datorkrets. Den här ”intelli-
genta” skoluniformen gör det möjligt
för föräldrarna att få reda på när deras
barn gått in i skolan genom att ett sms
skickas till deras mobiltelefon. Föräld-
rarna kan även få en sms-varning om
barnet skolkar. Till år 2013 ska samtliga
kommunens 43 000 skolelever i åldrar-
na 4-14 år använda t-shirts med spår-
ningskrets.
Danmark blockerar Google och Facebook¥ Den första mars kunde danska In-
ternet-användare inte längre komma
åt Google och Facebook. Precis som
Sverige har Danmark ett filter som ska
blockera åtkomsten till barnporrsajter.
Listan med blockerade sajter kommer
från polisen som av misstag hade lagt
till runt 8 000 helt legitima sajter, däri-
bland Google och Facebook. Inciden-
ten i mars påverkade endast två min-
dre Internet-leverantörer i Danmark
men enligt uppgift var det bara tur att
inte även de stora Internet-leverantö-
rerna drabbades.
Tre miljoner slagningar i brottsregister¥ Under förra året gjordes nästan
tre miljoner slagningar i det brittiska
brottsregistret, Criminal Records Bu-
reau, uppger organisationen Big Broth-
er Watch. Runt 4 000 organisationer
har rätt att göra slagningar i registret
som är menat att skydda barn från att
komma i kontakt med farliga vuxna.
Enligt uppgift innehåller registret felak-
tigheter vilket gjort att oskyldiga per-
soner pekats ut som sexförbrytare och
förlorat sina jobb.
Google bygger in Internet i glasögon¥ Få tekniknördar har kunnat undgå
Googles senaste projekt, Project Glass,
som utvecklats av Google X som är fö-
retagets ”hemliga labb” för långsiktiga
forskningsprojekt. Google har byggt in
en kamera, mikrofon och Internet-för-
bindelse i ett par glasögon som dess-
utom kan projicera en bild med rele-
vant information för glasögonbäraren.
Tanken är att glasögonen ska kunna
ersätta mobilen för att leta upp infor-
mation, översätta text, få vägbeskriv-
ningar och liknande. Här finns en video
som visar hur glasögonen kan komma
att användas i framtiden: http://youtu.
be/9c6W4CCU9M4
OMväRLDeN
2 Integritet i fokus nr 2-2012 – Datainspektionen
Personnummer stals vid dataintrång¥ Skatteverket varnar i ett pressmed-
delande att ett företag som hanterar
uppgifter från folkbokföringen har ut-
satts för dataintrång. Personnummer
för ett antal personer med skyddade
personuppgifter har kopierats. ”Jag har
stor förståelse för att man känner oro
om ens personnummer har kopierats
men det finns inget som tyder på att
namn- eller adressuppgifter har kom-
mit ut”, säger Anders Kylesten, säker-
hetschef på Skatteverket. Myndigheten
varnar dock för att det för drygt tusen
personer kan vara teoretiskt möjligt att
annan information har kopierats. Hän-
delsen har polisanmälts av företaget
som utsattes för dataintrånget.
Spred nakenbilder på sina assistenter¥ En 37-årig man har dömts för grovt
förtal efter att ha publicerat nakenbil-
der på sina två personliga assistenter
på olika webbsidor. Mannen hade satt
upp en kamera inne på sin toalett och
fotograferade en av sina personliga as-
sistenter där. Han skaffade sig även åt-
komst till den andra kvinnans dator
och stal från den flera nakenbilder som
kvinnan hade på sig själv. Förutom na-
kenbilder publicerade mannen även
kvinnornas namn, telefonnummer och
e-postadresser. Mannen dömdes till 75
timmars samhällstjänst och att beta-
la sammanlagt 50 000 kronor i skade-
stånd till de två kvinnorna.
Skadestånd för felaktig hantering av hemlig adress¥ En kvinna med skyddad adress har
fått en kallelse från en domstol skick-
ad till sin hemliga adress med hennes
personuppgifter synliga på kuvertet.
Justitiekanslern konstaterar att kvin-
nans personuppgifter har hanteras på
ett sätt som står i strid med person-
uppgiftslagen och ålägger Domstols-
verket att betala 10 000 kronor i ersätt-
ning till kvinnan.
Bloggande pappa fälld i domstol¥ En pappa som har bloggat om sin
pågående vårdnadstvist har dömts för
brott mot personuppgiftslagen. Data-
inspektionen har tagit emot flera kla-
gomål mot bloggen och konstatera-
de 2010 att ett par av inläggen på den
bröt mot personuppgiftslagen. Man-
nen hävdade att bloggen har ett jour-
nalistiskt ändamål vilket gör att stora
delar av personuppgiftslagen inte skul-
le gälla. Datainspektionen ansåg dock
att undantaget för journalistiskt ända-
mål inte gäller om uppgifterna som pu-
bliceras är av rent privat karaktär. Inläg-
gen ifråga har tagits bort från bloggen
men åklagare ansåg ändå att det fanns
skäl att väcka åtal för brott mot person-
uppgiftslagen. Mannen dömdes till 50
dagsböter.
JO: Polisen kan aldrig garantera anonymitet¥ Justitieombudsmannen (JO) är kri-
tisk till att polisen på sin webbplats an-
vänder formuleringar som ”du kan vara
anonym om du vill”. Detta eftersom
polisen inte kan garantera uppgifts-
lämnarens anonymitet. ”I polisens fall
råder en långtgående dokumentations-
plikt. Bland annat gäller att person-
uppgifter om målsäganden och vittnen
ska antecknas i förundersökningsmate-
rialet. Detta kan inkludera sådant som
den som lämnar ett tips kanske inte
tänker på att polisen kan uppmärksam-
ma, till exempel numret till den telefon
varifrån en uppgiftslämnare ringer”,
skriver JO i sitt beslut. JO varnar för att
formuleringarna på polisens webbplats
bäddar för situationer där enskilda ”kan
ha anledning att känna sig svikna” och
vill att polisen ser över texterna.
Polisen varnar för nytt datorbedrägeri¥ En ny typ av datorbedrägeri har
dykt upp. När man besöker vissa, san-
nolikt mindre rumsrena, webbplatser,
dyker ett varningsmeddelande upp.
Meddelandet är utformat för att se ut
som om det kommer från polisen och
talar om att datorns operativsystem
har blockerats på grund av brott mot
svensk lag. För att låsa upp datorn mås-
te man betala 100 euro i böter. Med-
delandet kommer inte från polisen och
det förekommer inte heller att polisen
bötfäller någon via Internet.
16-åring hotade publicera bilder och personuppgifter¥ En 16-årig pojke har åtalats för att
med hot försökt få sju flickor, som är
mellan 10 och 13 år gamla, att pose-
ra framför en webbkamera. Nyhetsby-
rån TT uppger att hoten bland annat
ska ha bestått i att hacka flickornas da-
torer och lägga ut bilder och person-
uppgifter på Internet.
SveRIGe
3Integritet i fokus nr 2-2012 – Datainspektionen
6777 910 34712310 262 9998
561202-6566
4 Integritet i fokus nr 2-2012 – Datainspektionen
SMS-lån i någon annans namn. En brevlåda som vittjas när ett nytt kre-ditkort kommit på posten. De här, och andra typer av identitetsstölder har blivit ett jätteproblem och bedrägerier är numera den fjärde vanligaste typen av brott i Sverige efter brott som snat-teri och skadegörelse. Och mörkertalet är mycket, mycket stort säger polisens utredare.
I mars i år åtalas en 21-årig man för grovt bedrägeri vid tingsrätten i Sollentuna efter att ha kapat över femtio identiteter och tagit SMS-lån för flera hundra tusen kronor. Den unge mannen har hämtat information om de identiteter han kapat på Internet och även ringt till Skatteverket för information. Från ett kreditupplysningsföretag har han sedan begärt kreditupplysningar. Därefter har han ringt till telefonbolag och uppgett att han tappat bort sitt SIM-kort. När telefonbolaget ställde personfrågor kunde han, genom sina
tidigare efterforskningar, svara på dem och få ut nya SIM-kort som han sedan tagit SMS-lån på. Pengarna från lånen har 21-åringen sedan fört över till sitt privata konto.
Det här är bara ett exempel på den våg av identitetsstölder som tycks skölja över landet just nu.
– Det är vansinnigt enkelt att stjäla någons identitet, säger Lars Minnedal, kri-minalinspektör vid en av Stockholms tre bedrägerirotlar.
Lars Minnedal berättar att det kommer in ungefär 30 000 anmälningar per år om olika former av bedrägerier, däribland identitets-
Stulna identiteter ökar dramatiskt
6777 910 34712310 262 9998
670530-2319
740226-34864526 050 3456
451012-00952373
” Mörkertalet är enormt. Det begås mycket, mycket, mycket fler identitetsstölder än vad som anmäls
5Integritet i fokus nr 2-2012 – Datainspektionen
stölder. I Stockholm. Enbart på bedrägerirotel City, där Lars arbetar, tar man emot i runda slängar 1 000 ärenden per månad.
– Och då ska man tänka på att mörkertalet är enormt. Det begås mycket, mycket, mycket fler identitetsstölder än vad som anmäls.
Faktum är att identitetsstölder och andra former av bedrägerier seglat upp som det fjärde största brottsområdet i Sverige. Störst
är tillgreppsbrott som stöld och snatteri, följt av våld på offentlig plats och skadegörelse.
– Tyvärr är trenden oroväckande. Vi kom-mer att ha mörka år framöver när det gäller identitetsstölder.
Stockholmspolisens bedrägerirotlar har en gemensam Facebook-sida (www.facebook.com/BedragerirotelnStockholm). På den re-dovisar bedrägerirotel Syd hur det såg ut en vanlig dag på jobbet den 3 april vilket du kan se i rutan här bredvid. Det ger en liten fing-ervisning om hur stort problemet med stulna identiteter är.
Det perfekta brottetEnligt Lars Minnedal är identitetsstöl-der något av det perfekta brottet sett ur ”skurkperspektiv”.
– Att begå värdetransportrån är farligt, risken är stor att åka fast och förövarna döms ofta till långa fängelsestraff. Begår man i stället identitetsstölder är det svårt att åka dit, ibland har vi små möjligheter att utreda brottet och även om man skulle åka dit riske-rar man bara relativt milda påföljder.
Lars Minnedal definierar identitetsstöld som ”när en bedragare har utnyttjat någon annan människas personuppgifter i bedräg-ligt syfte”.
– Det finns en uppsjö olika varianter av identitetsstölder och det finns säkert tillvä-gagångssätt som vi på polisen inte känner till idag. De som sysslar med sådant här är väldigt kreativa och försöker hela tiden hitta nya sätt att utnyttja ”systemet”.
En klassisk identitetsstöld är att beställa ett nytt bankkort i någon annan persons namn. Kortet skickas till rätt adress, men när
– vi kommer
att ha mörka år
framöver när det
gäller identitets-
stölder, tror Lars
Minnedal.
4285 9030 2854 3390
560517-6645
FOT
O:
MA
RT
IN A
GFO
RS
6 Integritet i fokus nr 2-2012 – Datainspektionen
-53212 080 4276
brevet med bankkortet stoppas i brevlådan, är bedragaren där och snappar upp det. Samma sak ett par dagar senare när banken skickar pin-koden till kortet.
I slutet av mars riktade Rikspolisstyrelsen kritik mot kortutgivarna och efterlyste för-bättrade säkerhetsrutiner då de lämnar ut nya bankkort.
– Dessa brott utgör ett stort problem för de drabbade individerna, kortutgivarna och de rättsvårdande myndigheterna. Med hjälp av förbättrade säkerhetsrutiner vid utlämning kan vi minska antalet brott, sade rikspolis-chef Bengt Svenson i mars.
Rikspolisstyrelsen har uppmanat de svens-ka medlemmarna i kortutgivarorganisationen Pan-Nordic Card Association att ändra sina rutiner och rekommenderar, bland annat, att det ställs krav på att kunden ska visa en giltig identitetshandling för att kunna hämta ut sitt bankkort eller sin pinkod.
Falska SMS-lånPå senare tid tycks dock identitetskaparna ha övergett brevlådevittjningen för att i stället ta SMS-lån i andra personers namn. En be-dragare skaffar ett anonymt kontantkort till sin mobiltelefon. Därefter registrerar han (ja, det är oftast män som sysslar med identitets-stölder) via exempelvis Hitta.se att kontant-kortet tillhör någon annan person, offret. Till sist ringer han ett SMS-låneföretag och begär att få låna pengar. SMS-låneföretaget ställer ett par kontrollfrågor för att försöka fast-ställa personens identitet, som exempelvis i vilket stjärntecken man är född i. Bedragaren har dock gjort sin hemläxa och har från Skattverket och sajter som Birthday.se
hämtat tillräckligt med personuppgifter för att kunna svara på frågorna.
– Sajter som Birthday.se är rena smör-gåsbord av personuppgifter, inflikar Lars Minnedal.
Slutligen begär bedragaren att få pengarna insatta på ett konto som han själv kontrol-lerar, exempelvis via en ”målvakt”. En litet mer sofistikerad variant är triangelbedrä-
varning för falska supportsamtalI slutet av februari i år gick po-
lisen ut med ett pressmeddelan-
de och varnade för en ny typ av
dataintrång och bedrägeri. Den
utsatta personen blir uppringd
av någon som påstår sig komma
från Microsofts support. Perso-
nen som ringer erbjuder sig att
hjälpa till med att lösa olika da-
torproblem, till exempel att ren-
sa datorn från virus. Följer man
de anvisningar som lämnas kom-
mer datorn att bli utan skydd
från angrepp utifrån, man kan ta
del av all information som finns
på hårddisken och allt som skick-
as till Internet, till exempel in-
loggningar på mejlkonton, bank-
inloggningar och liknande.
– Den som får ett samtal av
den här typen uppmanas att av-
sluta samtalet snarast och att
inte följa några instruktioner som
ges, säger Anders Ahlqvist, It-
brottsspe-
cialist på
Rikspolis-
styrelsen i
pressmed-
delandet.
4285 9030 2854 3390
560517-6645
en dag på jobbet hos bedrägerirotelnSå här såg en helt vanlig dag på
jobbet ut för personalen på be-
drägerirotel Syd i Stockholm tis-
dagen den 3 april i år.
Försök till bedrägeri
Utger sig i telefon för att ringa
från Microsoft 2 st (se ovan)
Mailförsök för att få ut konto-
kortsuppgifter 1 st
Identitetskapningar
Kreditbedrägerier (lån) 4 st
Kreditbedrägerier (kort) 6 st
Bedrägeri i butik (telefon) 2 st
Obehörigt tecknande av telefon-
abonnemang 3 st
Beställt varor i annans namn 5 st
Övriga bedrägerier
Blocketbedrägeri 3 st
Lägenhetsbedrägerier 3 st
Bluffakturor 4 st
ROT-avdragsbedrägeri 1 st
Bilbedrägeri mot bilfirma 2 st
Oäkta guld vid vägkanten 1 st
7Integritet i fokus nr 2-2012 – Datainspektionen
geriet. Bedragaren tar då SMS-lån i en an-nan persons namn, köper en dyrare vara på Blocket, frågar efter säljarens kontonummer och använder det som insättningskonto för SMS-lånet. Säljaren på Blocket blir då ofri-villigt och ovetande ”målvakt” i bedrägeriet.
Bedragaren kan sedan sälja den vara han köpt för SMS-lånet för att få tillbaka reda pengar.
Lars Minnedal beskriver kontantkortstele-
foner som ”ett evigt jävla helvete” och menar att de närmast inbjuder till bedrägeri. Han är också kritisk till hur lätt det är att via exempelvis Skattverket få reda på så mycket personuppgifter om andra människor.
– Den svenska offentlighetsprincipen har blivit ett verktyg som utnyttjas av skurkar. Vem som helst kan helt anonymt, utan att uppge någon orsak, ringa Skatteverket och begära ut adress, personnummer och liknande om vem som helst. Man ska komma ihåg att SMS-låneföretagen inte har några superhem-liga uppgifter om den som vill låna pengar. De hämtar sina kontrollfrågor från samma offentliga register som bedragarna använder.
I vissa fall krävs att man skickar in kopia på sitt körkort för att få SMS-lån, men det är en smal sak att Photoshoppa in nya personuppgifter på ett körkort, menar Lars Minnedal.
Hårdare rutinerPolisen menar att många av identitetsstölder-na är möjliga på grund av dåliga rutiner hos banker, i butiker och där man lämnar ut varor som köpts på nätet. Polisen föreslår bland annat att näringsidkare som i rent vinstsyfte struntar i att kontrollera identiteten hos dem som handlar på kredit eller tar krediter (till exempel SMS-lån) ska kunna dömas att betala skadestånd och att utlämningsställen som gör bristfällig id-kontroll vid utlämning av postordergods ska kunna bli ersättnings-skyldiga vid bedrägeri.
I rutan här bredvid kan du läsa några tips från polisens bedrägeriutredare om hur du kan minska riskerna att få din identitet stulen. Lars Minnedal ger sin egen sammanfattning:
– I grunden måste folk bli mer misstänk-samma och sluta vara så godtrogna.
781022-23212344 4567 8921 3400
Så här skyddar du dig mot identitetsstöld � Var försiktig med att
lämna ut personlig in-
formation, gör det en-
dast till företag och in-
stitutioner du litar på.
� Lämna inte ifrån dig
kontokort så att andra
kan läsa de synliga upp-
gifterna. Det går tyvärr
utmärkt att handla på
Internet med dessa.
� Släng inte papper med per-
sonlig information (kontout-
drag och slippar med mera) i
soporna där det finns risk att
andra kan få tag på dem.
� Se till att obehöriga inte kan
komma åt din post (man kan
till exempel beställa kreditkort
i ditt namn och snappa upp
det, liksom koden).
� Man kan spärra sitt person-
nummer för kreditköp hos de
stora kreditupplysningsföreta-
gen. Vanligen krävs att polis-
anmälan gjorts så det går ty-
värr inte att göra detta i fö-
rebyggande syfte, endast när
man redan är drabbad.
Källa: Facebook-sidan för Stockholmspo-
lisens bedrägerirotlar (www.facebook.
com/BedragerirotelnStockholm)
FAKTA
” Sajter som Birthday.se är rena smörgåsbord av personuppgifter
8 Integritet i fokus nr 2-2012 – Datainspektionen
Testa dina kunskaper
Får arbetsgivaren läsa din privata e-post?
1. Har jag som anställd rätt att få veta vilka
person uppgifter som arbetsgivaren lagrar
om mig?
Nej, några sådana rättigheter finns inte i svensk
lag. Däremot kan fackförbund och arbetsgivare
göra överenskommelser som gör det möjligt.
Ja, om arbetstagaren begär ett så kallat
registerutdrag är arbetsgivaren skyldig att
lämna skriftlig information till den anställde om
vilka person uppgifter som behandlas och vad
uppgifterna används till.
Ja, men arbetsgivaren har rätt att undanhålla
vissa uppgifter om den anställde, som
exempelvis omdömen.2. Gäller personuppgiftslagen uppgifter
som är nedskrivna på papper?
Ja, personuppgiftslagen gäller alla
personuppgifter, både på papper och i
datorer.
Ja, personuppgiftslagen gäller även för
uppgifter på papper men bara om det går
att söka bland uppgifterna i exempelvis
ett kartotek.
Nej, personuppgiftslagen gäller bara
digitala uppgifter. 3. Enligt personuppgiftslagen måste det alltid
finnas en ansvarig för de personuppgifter
som behandlas. Vem kan denne vara?
Det kan endast vara en juridisk person, till
exempel ett aktiebolag eller förening.
Det måste alltid vara en fysisk person.
Företag och liknande ska utnämna en person.
Det är normalt en juridisk person, men kan
i undantagsfall vara en fysisk person om det
handlar om ett enmansföretag.
1
2
3
Har jag rätt att få veta vad arbetsgivaren
registrerar för uppgifter om mig? Får ar-
betsgivaren läsa min e-post? Är det okey
att publicera namn och bild på anställda
på företagets webbplats? Här är tio tuf-
fa frågor om vilka regler som gäller när
personuppgifter hanteras i arbetslivet.
1
1
2
2
3
3
9Integritet i fokus nr 2-2012 – Datainspektionen
Vill du fuska?Alla svar finns på Datainspektio-
nens webbplats, på www.
datainspektionen.se/arbetslivet
4. När ska arbetsgivaren ta bort e-postkontot för
en anställd som slutat?
Kontot ska tas bort inom ”en rimlig tid”, i
normala fall inom en månad efter att man slutat.
Enligt bokföringslagen ska verifikationer sparas i
tre år och samma regler gäller för e-post.
E-postkontot ska tas bort den dag då den
anställde slutar.
5. Får arbetsgivaren ha ett register över
anhöriga till personalen utan att fråga de
anhöriga om lov?
Nej, varje anhörig måste ge sitt
godkännande.
Ja, man får göra det. Men, de anhöriga
måste få information om att deras
uppgifter finns hos arbetsgivaren.
Ja, det är viktigt att arbetsgivaren kan
kontakta anhöriga vid exempelvis en
olycka. Därför behöver man inte fråga de
anhöriga om lov eller informera dessa.
6. I vissa fall kan arbetsgivaren ha fått
de anställdas lov att registrera deras
personuppgifter. Men, kan en anställd ångra
ett sådant samtycke?
Ja, man kan ta tillbaka sitt samtycke skriftligt
eller muntligt.
Ja, den anställde kan ångra sitt samtycke,
men bara genom en skriftlig begäran till
arbetsgivaren.
Nej, ingångna avtal måste enligt lag följas
fram till att anställningen upphör eller till att
de omförhandlas via fackförbundet.
7. Får arbetsgivaren publicera namn,
telefonnummer, e-postadress och liknande
uppgifter om de anställda på företagets
webbplats?
Ja, men endast om fackförbundet gett
sitt ok.
Ja, men enbart om de anställda gett
sitt godkännande.
Ja.
1
2
3
1
2
3
1
2
3
1
2
3
10 Integritet i fokus nr 2-2012 – Datainspektionen
Facit1. Rätt svar: 2. Ja, en anställd kan skriftligen begära att arbetsgivaren ska redovisa vilka personuppgifter som behandlas och vad uppgifter-na används till.2. Rätt svar: 2. Personuppgifts-lagen gäller även för uppgifter på papper, men uppgifterna måste vara strukturerade i exempelvis ett kartotek.3. Rätt svar: 3. Typiskt är den personuppgiftsansvarige en juridisk person, men i undantagsfall kan det vara en fysisk person, om det hand-lar om ett enmansföretag.4. Rätt svar: 1. Kontot ska i norma-
la fall tas bort inom en månad efter att den anställde slutat.5. Rätt svar: 2. Arbetsgivaren får ha sådana uppgifter utan samtycke men behöver ha en rutin för att in-formera de anhöriga, till exempel genom att den anställde får en in-formationslapp att ta hem.6. Rätt svar: 1. Arbetstagaren har rätt att ta tillbaka sitt samtycke. Det kan göras skriftligt eller muntligt. Det är arbetstagaren som har be-visbördan för att en återkallelse har gjorts och när det gjordes.7. Rätt svar: 3. Ja, men när det gäl-ler att publicera foto på de anställda
bör dock arbetsgivaren först fråga om tillåtelse. I vissa fall kan dock ar-betsgivaren ha tungt vägande skäl för att publicera bilder på anställda, till exempel på personer som har kundorienterade arbetsuppgifter. I så fall behöver arbetsgivaren inte få godkännande från de anställda.8. Rätt svar: 3. Uppgifter får samlas in kontinuerligt, men arbetsgivaren får inte använda uppgifterna för att övervaka de anställda i realtid och för att exempelvis kontrollera hur lång rast de tar.9. Rätt svar: 1. Finns det allvarlig misstanke om illojalt eller brottsligt
beteende så får arbetsgivaren ta del av de privata mejl som den anställ-de skickar från sitt jobbmejlkonto.10. Rätt svar: 2. I normala fall får GPS-spårning av fordon enbart an-vändas för logistik och liknande. I undantagsfall, om arbetsgivaren misstänker att den anställde allvar-ligt missbrukar arbetsgivarens för-troende, får dock arbetsgivaren an-vända spårningen för att kontrolle-ra hur länge någon arbetar eller tar rast.
8. Finns det några gränser för hur de anställda
får övervakas om företaget använder
prestationsbaserad lön?
Nej, alla former av individuell
prestationsmätning är tillåten.
Nej, men företaget måste först få respektive
anställds godkännande.
Ja, uppgifter får samlas in kontinuerligt, men
arbetsgivaren får inte använda uppgifterna för
att övervaka de anställda i realtid och för att
exempelvis kontrollera hur lång rast de tar.
9. Får arbetsgivaren kontrollera vad den
anställde skickar för privata mejl från sitt
e-postkonto på jobbet?
Ja, men bara vid allvarlig misstanke om
illojalt eller brottsligt beteende.
Ja, men bara om den anställde gett sitt
godkännande först.
Nej, arbetsgivaren får inte ta del av
privat e-post.
10. Får en arbetsgivare använda GPS-spårning för att
kontrollera hur länge en viss person arbetar, och tar rast?
Ja, men samtliga anställda måste ha gett sitt godkännande
till sådana kontroller.
Ja, men bara om arbetsgivaren misstänker att den
anställde allvarligt missbrukar arbetsgivarens förtroende.
Nej, GPS-spårning får enbart användas för exempelvis
logistik, fördelning av resurser och underlag för
fakturering, och får aldrig användas för att kontrollera om
någon tar för långa raster.
Läs mer om arbetslivet
Datainspektionens nya broschyr
”Personuppgifter i arbetslivet” klargör
vilka regler som gäller för hur arbets-
givare får hantera personuppgifter.
Den innehåller en rad exempel från
verkliga livet. Skriften
kan hämtas kostnads-
fritt som pdf på www.
datainspektionen.se/
arbetslivet eller bestäl-
las som trycksak och
kostar då 53 kronor.
1
2
3 1
2
3
1
2
3
11Integritet i fokus nr 2-2012 – Datainspektionen
Granskning av kommuners surfplattor¥ Det blir allt vanligare att kommu-
nala nämnder digitaliserar sin pappers-
hantering för att komma ifrån stora
mängder pappersutskick, bland annat
inför nämnd- och utskottssammanträ-
den. De digitala handlingarna kan lä-
sas och hanteras via surfplattor som ex-
empelvis Ipad. ”Kommer en surfplatta
i orätta händer kan potentiellt känsli-
ga personuppgifter spridas snabbt och
okontrollerat. Därför är det viktigt att
informationen på surfplattorna är till-
räckligt skyddad”, säger Ingela Alver-
fors som leder det projekt som Data-
inspektionen nu dragit igång.
Myndigheten ska undersöka social-
nämnder i Skellefteå, Järfälla, Värna-
mo, Staffanstorp, Halmstad, Göteborg
och Stockholm. Bland frågorna som
ska besvaras finns: kan de förtroende-
valda använda egna, privat inköpta,
surfplattor, har nämnden infört förbud
eller begränsningar för privat använd-
ning eller hinder mot att ladda ner el-
ler installera vissa appar, finns det nå-
gon central spärrfunktion eller distans-
radering, innehåller surfplattorna se-
kretessbelagd information eller doku-
ment som innehåller integritetskänsli-
ga personuppgifter.
Polisen lagrar för mycket från mobiltelefoner¥ Datainspektionen har granskat hur
Länskriminalpolisen i Stockholm regist-
rerar uppgifter som kommer från mo-
biltelefoner som tagits i beslag i för-
undersökningar. De registrerade upp-
gifterna kommer från telefoner som
tillhör personer som är misstänkta för
brott som kan ge två års fängelse. I re-
gistret finns all information från den
”tömda” telefonen, vilket kan vara sms,
samtalsloggar, adressbok med mera.
Enligt det regelverk som polisen ska
följa för särskilda undersökningar får
enbart uppgifter som rör misstankar
om allvarlig brottslig verksamhet lag-
ras i registret. Innan en uppgift sparas i
registret måste polisen pröva om upp-
giften är relevant för undersökningen.
Datainspektionen kan dock konstatera
att 98 procent av uppgifterna i telefon-
registret inte har prövats mot lagens
krav, vare sig då de registrerades eller
då registret gallras. ”Det är uppenbart
att polisen genom detta förfarande re-
gistrerar personuppgifter utan att det
finns fog för det”, skriver Datainspek-
tionen i beslutet från sin granskning.
Dåliga rutiner för gallring i polisens register¥ Datainspektionen har granskat
hur polismyndigheterna i Dalarna och
Västerbottens län hanterar person-
uppgifter i sin verksamhet. Vid inspek-
tionerna upptäcktes att ett antal regis-
NyTT FRåN DATAINSPeKTIONeN
Datainspektionen polisanmäler Migileaks¥ Datainspektionen har tagit emot
klagomål och på andra sätt blivit upp-
märksammad på sajten Migi leaks
som publicerar domar från migra-
tionsdomstolar. På sajten publiceras i
bloggform inlägg om domar som rör
asylsökande. Inläggen består typiskt
av en kortare skriven text och en länk
till den inskannade domen. I de pu-
blicerade domarna förekommer ingå-
ende beskrivningar av levnadsförhål-
landen med känsliga personuppgifter
om namngivna personer som sökt
asyl i Sverige. I de flesta fall publice-
ras även den asylsökandes person-
nummer och adress. Datainspektion-
en bedömer att publiceringen är krän-
kande i personuppgiftslagens mening
och att domarna borde ha anonymi-
serats genom att ta bort direkt utpe-
kande personuppgifter som exempel-
vis namn. Den ursprungliga Migileaks-
sajten har lagts ner men materialet har
tagits över av en annan sajt. Dessutom
publiceras materialet på ytterligare en
sajt. Datainspektionen polisanmäler
samtliga tre sajter.
12 Integritet i fokus nr 2-2012 – Datainspektionen
ter i polisens underrättelseverksamhet
inte följer gällande lagstiftning. Brister-
na i kriminalunderrättelseverksamhe-
ten har bland annat bestått i att per-
soner registrerats i så kallade särskilda
undersökningar utan att det funnits
en koppling till allvarlig brottslig verk-
samhet, vilket är ett krav för denna typ
av undersökning. Dessutom har polis-
myndigheterna inte haft tillräckliga ru-
tiner när det gäller gallring av person-
uppgifter i underrättelseprojekten.
Försäkringsförmedlare under granskning¥ Enligt lagen måste företag som ar-
betar med försäkringsförmedling do-
kumentera sin verksamhet. Det inne-
bär bland annat att företagen behöver
ta reda på och dokumentera uppgifter
om kundernas bakgrund, ekonomiska
ställning med mera. Bland uppgifterna
som dokumenteras kan finnas känsli-
ga personuppgifter som rör kundernas
hälsa. Datainspektionen har nu dragit
igång ett projekt som ska ta reda på vil-
ka personuppgifter som försäkringsför-
medlare hanterar, varför uppgifterna
samlas in och hur de skyddas. Det som
ska granskas inom ramen för projektet
är försäkringsförmedlare som förmed-
lar personförsäkringar som sjukförsäk-
ringar och livförsäkringar. Granskning-
en beräknas vara slutförd i september.
Bussbolag kameraövervakar personal¥ Datainspektionen har tagit emot
ett klagomål som gör gällande att ett
bussbolag i Varberg kameraövervakar
sin personal. Myndighetens gransk-
ning visar att bolaget har tio övervak-
ningskameror på sin anläggning. Bo-
laget uppger att kameraövervakning-
en är tänkt att användas för att utre-
da skadegörelse eller annat brott eller
om det skulle ske en olycka i exempel-
vis verkstad och tvätthall. Hittills har
bildmaterialet aldrig behövt användas.
Datainspektionen anser att det måste
finnas ett påtagligt behov av kamera-
övervakning och att bussbolaget måste
göra en grundlig analys att så verkligen
är fallet.
Lättare kameraövervaka tunnelbanan¥ En utredning har på uppdrag av re-
geringen tagit fram ett förslag till ny
kameraövervakningslag som ska sam-
la alla bestämmelser om kameraöver-
vakning som idag finns i två olika lagar:
lagen om allmän kameraövervakning
och personuppgiftslagen. Datainspek-
tionen yttrade sig om förslaget un-
der 2010 och har nu yttrat sig över ett
kompletterande underlag. Myndighe-
ten är kritisk till att kameraövervakning
ska kunna införas i parkeringshus utan
tillstånd, däremot delar Datainspek-
tionen utredningens mening att det
ska kunna bli lättare att kameraöverva-
ka i tunnelbanan eftersom människor
ofta kan känna sig mer utsatta där än
på andra platser.
Kritik mot brister i journalsystem¥ Datainspektionen har granskat hur
Karolinska sjukhuset använder så kall-
lad sammanhållen journalföring, vil-
ket innebär att sjukhuset kan utbyta
journaluppgifter med andra vårdgiva-
re. Granskningen har avslöjat ett an-
tal brister i sjukhusets journalsystem
som strider mot reglerna i patientdata-
lagen. En sådan brist är att användaren
redan i utgångsläget får se för mycket
information om patienten. I stället för
att systemet bara indikerar att det finns
journaluppgifter om patienten i fråga
hos andra vårdgivare så listas direkt
vilka vårdgivare som har uppgifter om
patienten. Dessutom visas dessa upp-
gifter innan man fått patientens med-
givande att ta del av uppgifterna.
Datainspektionen är även kritisk till
hur patienten ges möjlighet att sam-
tycka till att journaluppgifterna lämnas
ut. Ger patienten sitt samtycke blir alla
13Integritet i fokus nr 2-2012 – Datainspektionen
uppgifter hos alla vårdgivare som har
uppgifter om patienten tillgängliga,
oavsett om uppgifterna behövs för den
aktuella vårdprocessen. Detta gäller
alla uppgifter som patienten inte själv
aktivt spärrat.
Brist i journalsystem omöjliggör kontroll¥ Datainspektionen har tagit emot
ett klagomål som rör Akademiska sjuk-
huset i Uppsala. Enligt klagomålet är
sjukhusets IT-system utformat på ett
sätt som gör det omöjligt att kontrolle-
ra om enskilda läkare och annan behö-
rig vårdpersonal missbrukar sin möjlig-
het att läsa patientjournaler.
Klagomålet rör en funktion som visar
läkaranteckningar för en vald patient.
Datainspektionens granskning visar att
när en läkare öppnar funktionen så vi-
sas de 20 senaste anteckningarna. I sys-
temets logg, som ska användas för att
upptäcka obehörig åtkomst av patient-
journaler, registreras att läkaren ifråga
tittat på samtliga 20 anteckningar vid
exakt samma tidpunkt. Det går alltså
inte att se vilken anteckning som läka-
ren faktiskt läste. ”En så bristfällig logg-
ning gör det i praktiken omöjligt att
kontrollera obehörig åtkomst, men gör
även att personal på felaktiga grunder
kan pekas ut som att ha tagit del av för
mycket patientuppgifter”, säger Maria
Bergdahl som lett Datainspektionens
granskning.
Segdraget ärende om kameraövervakning avgjort¥ 2008 beslutade Datainspektion-
en att Bromma gymnasium och Ten-
sta gymnasium måste upphöra med
kameraövervakning inomhus under
dagtid. De två gymnasierna överkla-
gade Datainspektionens beslut till läns-
rätten som avslog överklagandena, och
till kammarrätten som även den avslog
överklagandena med undantag för ett
par övervakningskameror i den ena
skolan. Skolorna överklagade därefter
till Högsta förvaltningsdomstolen, som
är den högsta allmänna förvaltnings-
domstolen i Sverige. I slutet av mars i
år meddelade domstolen att den går
på Datainspektionens linje och avslog
överklagandena. ”I likhet med under-
instanserna finner Högsta förvaltnings-
domstolen att kameraövervakning av
lektionssalar, korridorer, bibliotek, up-
pehållsrum och liknande i en skola un-
der skoltid generellt sett måste betrak-
tas som ett intrång i de registrerades
integritet”, skriver Högsta förvaltnings-
domstolen i sina två domar.
Oavsett om du arbetar inom offent-
lig, privat eller ideell verksamhet har
du nytta av kunskaper om personupp-
giftslagen. Anmäl dig till en av Datain-
spektionens kurser så får du utbildning
av experter inom området.
Gå på höstkurs hos Datainspektionen
Grundkurs i
personuppgiftslagen
Ett måste för alla som behöver
kunskap om personuppgiftslagen.
Grundkurs för
personuppgiftsombud
En tvådagars grundkurs där du får
lära dig vad det innebär att vara
personuppgiftsombud.
25–26 september och
13–14 november i Stockholm
Skolkonferens
6 november i Stockholm
En konferens om elevers integritet
i skolan och på Internet. På konfe-
rensen tas frågor upp som rör ele-
vadministration, kameraövervak-
ning och Internetpublicering.
Råd och regler för inkasso
och kreditupplysning
Den här kursen vänder sig till dig
som arbetar inom verksamheter
som rör inkasso och kreditupplys-
ning.
25 oktober 2012 i Stockholm
och 8 november 2012 i Göteborg Anmäl dig på www.datainspektionen.se/utbildning
Tips: Datainspektionen har tagit
fram en checklista som underlättar
för skolor att avgöra om kamera-
övervakningen följer eller strider
mot personuppgiftslagen. Check-
listan kan hämtas kostnadsfritt på
myndighetens webbplats.
14 Integritet i fokus nr 2-2012 – Datainspektionen
hallå där...
Det korta svaret: för att det är just
(bluff)fakturor och inte inkassokrav.
En överväldigande majoritet av alla
bluffakturor är just fakturor eller be-
talningspåminnelser, och då kan Data-
inspektionen inte göra något. Vår roll
är att se till att de bolag som bedriver
inkassoverksamhet följer inkassolagen.
Bluffakturor och betalningspåmin-
nelser är dock inte inkassokrav, och be-
rörs därför inte av reglerna i inkassola-
gen.
För en vanlig företagare kan det dock
säkert vara svårt att avgöra vad som är
en betalningspåminnelse och vad som
är ett inkassokrav. Ett inkassokrav inne-
håller alltid någon form av legal på-
tryckning. Normalt hotar borgenären
med rättsliga eller exekutiva åtgärder,
till exempel att lämna in en ansökan
om betalningsföreläggande till Krono-
fogdemyndigheten. Det kan också vara
hot om att till exempel ett kreditavtal
kan komma att sägas upp eller att ett
telefonabonnemang kommer att dras
in.
Vissa blufföretag skickar fakturor och
betalningspåminnelser som är mycket
lika inkassokrav. Syftet är att skrämma
mottagaren av bluffakturan, och tyvärr
lyckas det ofta.
Vad menas med en bluffaktura?
Uttrycket bluffaktura används i flera oli-
ka sammanhang. Det kan vara helt på-
hittade fakturor från företag man ald-
rig haft kontakt med, fakturor för va-
ror som man beställt och sedan aldrig
fått eller fakturor med orimliga villkor
eller villkor som man inte blivit upplyst
om. Ibland används även uttrycket när
man krävs på ersättning för en vara el-
ler tjänst som man inte är nöjd med.
Hallå där, Håkan Meurling......inkassoexpert på Datainspektionen.
varför kan ni inte göra något åt bluffakturorna?
de kundförhållanden finns egentligen
ingen anledning att kontrollera varje
ärende som kommer in. Nya uppdrags-
givare bör dock kontrolleras mer nog-
grant, liksom om uppdragsgivaren tidi-
gare har varit slarvig.
Om den som har fått ett inkassokrav,
gäldenären, invänder och hävdar att en
fordran saknar laglig grund, så är god
inkassosed att inkassobolaget inte vid-
tar några inkassoåtgärder utan snarast
möjligt utreder om invändningen har
fog för sig. Om uppdragsgivarens ford-
ringar ofta visar sig sakna grund bör in-
kassobolaget avsluta samarbetet med
den uppdragsgivaren.
Vad ska man göra om man fått en
bluffaktura?
Det beror på typen av bluffaktura. Har
man fått en helt påhittad faktura från
något företag som man aldrig har haft
kontakt med ska man kontakta polisen.
Om du har fått en faktura som är fel-
aktig ska du kontakta företaget skriftli-
gen och tillbakavisa kravet. Beskriv på
vilket sätt du anser att kravet är felak-
tigt. Tänk på att spara kopior av brev,
mejl eller fax du skickat. Går det inte
att komma överens med företaget som
skickade fakturan återstår för en dom-
stol att avgöra tvisten.
En oroande trend tycks vara att bluff-
företagen stämmer gäldenären i tings-
rätt och där erbjuder att göra upp i
godo, till exempel genom att gäldenä-
ren ”bara” behöver betala halva faktu-
rabeloppet. Om man accepterar erbju-
dandet kan det på sikt leda till att fler
drabbas. Mitt råd är därför att aldrig
gå med på en förlikning för något som
man inte beställt.
Vilken är då Datainspektionens roll i
sammanhanget?
Datainspektionen ska se till att inkasso-
lagen följs av de som bedriver inkasso.
Företag som arbetar med inkasso ska i
sin tur se till att följa ”god inkassosed”.
Vår erfarenhet är att de etablerade in-
kassobolagen i allt väsentligt följer god
inkassosed. Det händer dock att före-
tag som skickar bluffakturor anlitar in-
kassobolag för att driva in sina ford-
ringar. Inkassobolaget får inte skicka
ett inkassokrav om det finns skäl att tro
att fordran är obefogad. Därför har in-
kassobolaget en skyldighet att kontrol-
lera grunden för fordran. Vid inarbeta-
Har man fått en helt påhittad fak-
tura från något företag som man
aldrig har haft kontakt med ska
man kontakta polisen, säger Håkan
Meurling.
Håkan Meurling
yrke: Avdelningsdirektör och ex-
pert på inkassolagen
På myndigheten: sedan 1990
Senaste sedda film: A Royal Affair
Bok jag läser: Himmel över Lon-
don av Håkan Nesser
FAKTA
15Integritet i fokus nr 2-2012 – Datainspektionen
” Sättet vi samarbetar med våra systermyndigheter kan komma att förändras radikalt
Göran Gräslund Generaldirektör
Datainspektionen
Helt nyligen besökte jag Oslo och träffade mina chefskollegor på
dataskyddsmyndigheterna i de övriga nordiska länderna. Vi brukar ses på ett sådant möte en gång per år.
Vårt samarbete i konkreta ärenden är i princip obefintligt men det kan komma att förändras radikalt inom en relativt snar framtid.
EU-kommissionen har lagt fram ett förslag till ny lagstiftning som ska ersätta dagens dataskyddslagstiftning med en förordning. Idag har respektive EU-land sin egen version eller ”dialekt” av dataskyddslagstiftning. Med en för-ordning blir det en enda, övergripande lag som ersätter de nationella lagarna.
Det här påverkar på flera sätt hur vi och övriga dataskyddsmyndigheter inom EU arbetar, och framför allt sam-arbetar. Om Datainspektionen granskar ett företag som även har verksamhet i Danmark, så ska vi bjuda in våra danska kollegor att delta i gransk-ningen. Detta för att vi i båda länder ska komma fram till samma beslut.
Skulle Datainspektionen granska exempelvis en multinationell bank som har verksamhet i en rad europeiska länder måste vi, enligt kommissionens förslag, anmäla vad vi kommit fram till i vår granskning till en speciell euro-
peisk dataskyddsnämnd som består av medlemmar från samtliga europeiska dataskyddsmyndigheter. Om nämnden väljer att ta upp ärendet måste vi i Sverige invänta nämndens yttrande.
Min egen grova gissning är att Datainspektionen årligen skulle behöva samråda med andra dataskyddsmyn-digheter i 25–30 ärenden. Totalt i EU skulle det kunna handla om så många som 1 500 ärenden per år där samarbete krävs.
Oavsett om den siffran är realistisk eller inte står Europas dataskyddsmyndighe-ter inför en gigantisk utmaning.
I Sverige har Datainspektionen nyligen granskat tre banker som har verksamhet i övriga nordiska länder. På mötet i Oslo beslutade vi att låta data-skyddsmyndigheterna i Norge, Finland och Danmark granska våra utkast till beslut, ungefär på samma sätt som det är tänkt att ske i framtiden om kom-missionens förslag går igenom.
Jag ser det som ett första test av hur pass effektivt vi kan samarbeta.
Vi står inför en gigantisk utmaning
SISTA ORDeT...
Nästa nummer kommer i oktoberDatainspektionen, Box 8114, 104 20 Stockholm