Frågor och svar kring uppgifter i media om vår it-upphandling

Många reagerar över de uppgifter om myndigheten som finns i media med anledning av den information som kommit fram i Säkerhetspolisens förundersökning kring Maria Ågren och myndighetens it-upphandling. Vi har stor förståelse för den oro och de reaktioner som riktas mot oss och vill därför tydliggöra att vi inte har några indikationer som pekar på att uppgifter har spridits på ett otillbörligt sätt.

Vi kommer nu att prioritera att så fort som möjligt fortsätta åtgärda de brister som Säkerhetspolisen (Säpo) har identifierat för att därigenom återuppbygga förtroendet hos vår uppdragsgivare och allmänheten.

Här kan du som medborgare ta del av frågor och svar kring uppgifterna i media om vår it-upphandling:

  • I april 2015 tecknar Transportstyrelsen ett avtal med IBM Sverige om driften av myndighetens IT-system (outsourcing). Avtalet innebär att IBM Sverige ansvarar för att maskinvara, nätverk och program fungerar. Avtalet gäller till och med den 31 oktober 2020 med möjlighet till förlängning. IBM Sverige har underleverantörer utomlands.
  • I samband med outsourcingen till IBM Sverige beslutade dåvarande generaldirektör Maria Ågren under första halvåret 2015 om avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen samt myndighetens egen riktlinje för krav på informationssäkerhet.
  • Under senare delen av 2015 genomför Säpo en tillsyn av myndighetens säkerhetsskydd. Säpos tillsyn avslutades den 16 juni 2017.
  • I januari 2016 inleder åklagare en förundersökning som bygger på säkerhetspolisens tillsynsrapport.
  • Den 19 januari 2017 avskedas Maria Ågren från tjänsten som generaldirektör i Transportstyrelsen.
  • Den 26 juni 2017 får Maria Ågren ett strafföreläggande som innebär dagsböter på grund av vårdslöshet med hemlig uppgift, men utan uppsåt.

– Jag tar det här på största allvar och åtgärder har vidtagits. Det är självklart att vi som myndighet ska följa de lagar, regler och de säkerhetsskyddskrav som gäller inom vårt verksamhetsområde. Vi gör allt för att undvika en sådan här situation framöver, säger Jonas Bjelfvenstam.

När vi först fick information om detta sommaren 2015 påbörjades aktiviteter för att förbättra säkerhetsnivån. Exempel på åtgärder vi har vidtagit: 

  • All utrustning, program och data finns i Sverige och har hela tiden funnits i Sverige. All administration för lagring av data hanteras från juni 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All administration av nätverk hanteras från juli 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All huvudadministration av servrar hanteras från maj 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All administration av applikationsdrift kommer att under hösten 2017 att hanteras av registerkontrollerad och godkänd personal i Sverige. 

Säkerhetspolisen (Säpo) kontaktade oss sommaren 2015 och direkt efter det genomfördes omedelbara akuta åtgärder i syfte att förbättra säkerhetsnivån. Därefter har vi arbetat utifrån en åtgärdsplan med ytterligare åtgärder som måste genomföras. Denna åtgärdsplan har också delgetts Säpo. Vi kan av säkerhetsskäl inte i detalj redogöra för detaljerna i planen. Arbetet är tekniskt komplicerat och omfattande men ska vara åtgärdat senast under hösten 2017.

Vi har bedrivit och bedriver ett omfattande arbete (tillsammans med leverantören) för att komma tillrätta med de brister som påtalats. För att få tilltro krävs det att vi agerar och skyndsamt åtgärdar de brister som vi har kvar. Detta arbete är vår mest prioriterade arbetsuppgift.
Vi har även en ny generaldirektör som ser väldigt allvarligt på det inträffade. Han säger:

- Myndigheten hanterar samhällsviktig information som berör medborgare, företag och andra myndigheter och det är min bestämda uppfattning att vi i alla lägen ska följa de lagar och regler som gäller för myndighetens verksamhet. Något annat är inte acceptabelt.

Vi tycker inte du ska behöva vara det. Vi har vidtagit åtgärder och arbetar fortsatt med att säkerställa att all personal hos underleverantören är registerkontrollerad av Säpo och godkänd enligt svenska krav. Vi har ett pågående arbete med vår driftsleverantör i syfte till att styra om verksamheten där endast svensk säkerhetsgodkänd personal ansvarar för hela driften. Det kommer vara åtgärdat under hösten.

De flesta medborgare i Sverige finns i något eller några av våra register. Dagligen används uppgifterna av både medborgare och företag i olika sammanhang. Det kan exempelvis handla om en bilförsäljning, ett förnyat körkort eller att ett rederis nyköpta fraktfartyg ska tas upp i den svenska fartygsflottan.

För oss på Transportstyrelsen är registren viktiga verktyg som vi behöver för att kunna utföra våra uppdrag, dvs. att utforma regler, att följa upp att reglerna efterlevs och att utfärda tillstånd inom transportområdet. Dessutom behövs vissa register för att kunna administrera skatter och avgifter inom området.

Vi har ett flertal register. Vissa är väldigt stora och helt digitala, andra små och fortfarande i pappersform. Nästan all information i dem är offentlig och lämnas ut till den som begär det. Det finns dock delar av informationen som är belagd med sekretess av olika skäl. Ett av skälen är att informationen är skyddsvärd med hänsyn till rikets säkerhet eller för att skydda mot terroristbrott. Vilka delar av informationen vi förfogar över som är skyddsvärd vill vi av säkerhetsskäl inte kommentera närmare. Vi ber om förståelse för det.

Information som är skyddsvärd med hänsyn till rikets säkerhet eller skydd mot terroristbrott får bara hanteras av personer som är säkerhetsprövade enligt säkerhetsskyddslagen. Problemet som har aktualiserats under sommaren handlar alltså om en väldigt liten del av vår information. Inte om alla våra register och allt i dem.

Här följer en kortfattad sammanställning över de register vi förfogar över som kan innehålla uppgifter om dig.

Register inom vägtrafikområdet

  • Vägtrafikregistret (uppgifter om fordon, körkort, yrkestrafik, felparkeringsavgifter och trängselskatt). Dessutom finns tillhörande ärendehanteringssystem som innehåller digitaliserade kopior av ärendehandlingar som exempelvis ansökningar om körkortstillstånd och fordons registreringsbevis.
  • STRADA (Swedish Traffic Accident Data Acquistion). STRADA är ett informationssystem för data om olyckor och skador inom vägtransportsystemet. Systemet förs på uppdrag av regeringen.
  • Utbildarregistret innehåller uppgifter om personer som arbetar med förarutbildning, antingen inom trafikskolor, inom skolvärlden, Försvarsmakten eller Trafikverket.
  • Octet är ett analysverktyg som används vid handläggning inom yrkestrafikområdet. Här finns information från färdskrivare och förarkort så som namn, körkortsnummer och förarnummer.
  • Dokumentlagret är också ett system som avvänds vid handläggning inom yrkestrafikområdet. Här finns information i form av avbildningar av diagramblad samt filer från färdskrivare och förarkort som används inom yrkestrafiken samt listor över förare och fordon i yrkestrafik.
  • Uteblivna överföringar inom ramen för redovisningscentraler för taxitrafik är ett register som innehåller information från taxibranschen och deras verksamheter. Uppgifterna ska användas av Skatteverket i deras skattekontroller. 

Register inom sjöfartsområdet

  • Sjömansregistret innehåller uppgifter om sjömän och handelsfartyg där sjömän tjänstgör. Registrets syfte är att ge information om sjömäns tidigare och pågående tjänstgöring på fartyg och att kontrollera ett fartygs bemanning.
  • Fartygsregistret innehåller information om ägarskap för fartyg. Registret visar vem som är ägare till fartyget och säkerheterna i det om skeppet/skeppsbygget skulle intecknas.
  • SITS är ett register som används i vårt arbete med tillsyn på sjöfartsområdet. Det innehåller uppgifter om bland annat ägare och redare av fartyg, rederier och hamnar. Uppgifterna används vid exempelvis handläggning och fakturering.

Register inom luftfartsområdet

  • Inskrivningsregistret är ett register som har uppgifter om ägare eller innehavare av luftfartyg. Registrets syfte är att visa vem som äger den egendom som finns upptagen i registret.
  • EMPIC är ett stödsystem som används för tillstånd och tillsynsverksamhet inom luftfartsområdet. Det utgör också stöd i handläggning av olika ärenden kring flygpersonal. Systemet innehåller information om personer som arbetar som piloter, tekniker och flygledare.
  • Medicinregistret används för handläggning av medicinska intyg för flygpersonal. Det innehåller information om flygpersonal som har medicinska intyg och som har godkänts för tjänst av Transportstyrelsen.
  • PEXO är ett system som används för teoriexamination av piloter. I systemet registreras piloter.
  • Personkontrollregistret (PK-registret) används för att behandla uppgifter om personer som på grund av till exempel sin anställning ska delta i verksamhet som måste skyddas mot terrorism. Ändamålet med behandlingen är att få bekräftat att en registerkontroll är gjord och när den gjordes.
  • Lindra/Eccairs är ett system som används för händelserapportering inom luftfarten. I princip alla som arbetar inom luftfarten är skyldiga att rapportera in händelse- och olycksrapporter inom luftfarten.
  • Kabinbesättningsregistret är ett register över kabinpersonal som genomgått en kabinbesättningsutbildning. Något som krävs från och med 2013.  

Register inom järnvägsområdet

  • TRAP (Transportstyrelsens administrativa processtöd för spårbunden trafik) innehåller uppgifter kopplade till den svenska järnvägstrafiken. TRAP används som stöd i handläggning av olika järnvägsfrågor, till exempel ansökningar om lokförarbevis eller tillstånd till infrastrukturförvaltare.    
  • Historikdatabas innehåller diarieförda handlingar från tidigare järnvägsmyndigheter (Järnvägsinspektionen och järnvägsstyrelsen). 

Övergripande register

  • Didrik är Transportstyrelsens diarieföringssystem. I detta register finns uppgifter om handlingar som kommit in till myndigheten och handlingar som vi skickat ut. Syftet med diarieföringssystemet är att ha kontroll över våra ärenden och för att kunna uppfylla den grundlagsfästa offentlighetsprincipen om utlämnande av allmänna handlingar.
  • Agresso är ett administrativt system för lön och ekonomi som innehåller personuppgifter avseende kunder, anställd personal och deras nära anhöriga.
  • Visslarsystemet används för att ta emot anmälningar om misstänkta oegentligheter. Uppgifterna rapporteras in till en extern part som myndigheten har personuppgiftsbiträdesavtal med som säkerställer anonymiteten på anmälarna.
  • Reachmee är ett verktyg som används i rekryteringssammanhang. Ändamålet med verktyget är att vara ett it-stöd vid handläggning av anställningsärenden.
  • Upphandlingssystem och avtalsregister, Visma Tendsign är en plattform som vi använder oss av för att annonsera upphandlingar och där företag lämnar in sina anbud. Systemet är konstruerat för att förhindra att det går att ta del av informationen innan anbuden öppnas. I systemet finns även inköpsavtal registrerade.

Nej vi har inga militära fordon i våra register. Vi har bara civilregistrerade fordon i våra register. 

Ja, det förekommer personuppgifter som skyddas av olika sekretessregler. Vi kommer inte gå in på närmare på detaljer kring detta på grund av säkerhetsskäl.

Vi har inga indikationer som pekar på att uppgifter spridits på ett otillbörligt sätt så vi ser ingen direkt anledning till oro. Vår driftleverantör är skyldig att följa de bestämmelser som finns i personuppgiftslagen. När vi anlitar någon utomstående för att behandla personuppgifter är denne personuppgiftsbiträde åt Transportstyrelsen. I avtalet anges det att biträdet får behandla personuppgifterna men bara i enlighet med instruktioner från oss för att skydda de personuppgifter som behandlas. Bland annat att uppgifterna inte får behandlas för några andra ändamål samt att uppgifter inte får spridas till obehöriga. Transportstyrelsen har i enlighet med personuppgiftslagen skrivit ett sådant avtal med leverantören i det här fallet redan 2015-04-14.

Vi har inga indikationer på att några uppgifter har spridits felaktigt. Det finns inget som talar för det. Transportstyrelsen har ytterligare intensifierat sitt arbete med säkerhetsfrågor och det gäller också hur registerinformationen hanteras. Säkerhetsfrågorna har högsta prioritet för myndigheten och vi har vidtagit åtgärder för att förhindra att det kan ske.

Vi har inga indikationer som pekar på att uppgifter har spridits på ett otillbörligt sätt.

Vi och vår driftleverantör har tillgång till våra databaser. Våra handläggare för att handlägga ärenden, vår driftsleverantör för att se till att systemen rullar och går dygnet runt, året om. Personalen hos vår driftsleverantör är och har varit säkerhetskontrollerad av den egna organisationen och har också fått skriva på sekretessavtal men dessa är inte likvärdiga med en svensk registerkontroll och säkerhetsprövning. Vår driftleverantör är skyldig att följa de bestämmelser som finns i personuppgiftslagen.

Det innebär konkret att vår driftleverantör ansvarar för att se till att maskinvara, nätverk och program fungerar så att de kan användas. Det ska fungera dygnet runt, året om.

All utrustning, program och data finns i Sverige och har hela tiden funnits i Sverige.

 Ja, till viss del är det fortfarande så. Vi har ett pågående arbete med vår driftleverantör med syfte till att styra om verksamheten där endast svensk säkerhetsgodkänd personal kommer ansvara för hela driften. Just nu pågår ett arbete med att påskynda processen med vår driftleverantör och det ska vara genomfört senast hösten 2017.

Nej, databasen med körkortsbilderna driftas i dagsläget av svensk personal som är säkerhetsgodkänd.

Det står bland annat att leverantörens anställda ska följa lagen om offentlighet och sekretess precis som Transportstyrelsens anställda. Alla anställda hos leverantören som är del i leveransen får skriva på ett sekretessavtal. När det gäller uppgifter som omfattas av sekretess gäller bestämmelser enligt gällande sekretesslag.