Frågor och svar kring uppgifter i media om vår it-upphandling

Många reagerar över de uppgifter om myndigheten som finns i media med anledning av den information som kommit fram i Säkerhetspolisens förundersökning kring Maria Ågren och myndighetens it-upphandling. Vi har stor förståelse för den oro och de reaktioner som riktas mot oss och vill därför tydliggöra att vi inte har några indikationer som pekar på att uppgifter har spridits på ett otillbörligt sätt.

Vi kommer nu att prioritera att så fort som möjligt fortsätta åtgärda de brister som Säkerhetspolisen (Säpo) har identifierat för att därigenom återuppbygga förtroendet hos vår uppdragsgivare och allmänheten.

Här kan du som medborgare ta del av frågor och svar kring uppgifterna i media om vår it-upphandling:

  • I april 2015 tecknade Transportstyrelsen ett avtal med IBM Sverige om driften av myndighetens IT-system (outsourcing). Avtalet innebär att IBM Sverige ansvarar för att maskinvara, nätverk och program fungerar. Avtalet gäller till och med den 31 oktober 2020 med möjlighet till förlängning. IBM Sverige har underleverantörer utomlands.
  • I samband med outsourcingen till IBM Sverige beslutade dåvarande generaldirektör Maria Ågren under första halvåret 2015 om avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen samt myndighetens egen riktlinje för krav på informationssäkerhet.
  • Under senare delen av 2015 genomförde Säpo en tillsyn av myndighetens säkerhetsskydd. Säpos tillsyn avslutades den 16 juni 2017.
  • I januari 2016 inledde åklagare en förundersökning som bygger på säkerhetspolisens tillsynsrapport.
  • Den 19 januari 2017 avskedades Maria Ågren från tjänsten som generaldirektör i Transportstyrelsen.
  • Den 26 juni 2017 fick Maria Ågren ett strafföreläggande som innebär dagsböter på grund av vårdslöshet med hemlig uppgift, men utan uppsåt.
  • Den 3 augusti 2017 fick Transportstyrelsen i uppdrag av regeringen att kartlägga vilka uppgifter som hanterats av icke-säkerhetsklassad personal i samband med utkontrakteringen och att bedöma vilka åtgärder som eventuellt krävs för att framöver hantera skyddsvärda uppgifter på ett lämpligt sätt. Utredningen, som redovisades den 23 januari 2018, visar att informationen varit tillgänglig för leverantörens personal som inte varit säkerhetskontrollerad enligt svensk lag, men att det inte finns några indikationer på att den hamnat i orätta händer.
  • Den 3 augusti 2017 beslutade regeringen också att tillsätta en oberoende utredare som ska genomlysa händelserna som ledde fram till att säkerhetskänslig och av andra skäl sekretessbelagd information hanterades på ett sätt som strider mot svensk lagstiftning.

– Jag tar det här på största allvar och åtgärder har vidtagits. Det är självklart att vi som myndighet ska följa de lagar, regler och de säkerhetsskyddskrav som gäller inom vårt verksamhetsområde. Myndigheten har genomfört och fortsätter att genomföra åtgärder för att höja nivån inom säkerhetsområdet. Det som inträffat ska inte kunna hända igen, säger Jonas Bjelfvenstam.

När vi först fick information om detta sommaren 2015 påbörjades aktiviteter för att förbättra säkerhetsnivån. Exempel på åtgärder vi har vidtagit: 

  • All utrustning, program och data finns i Sverige och har hela tiden funnits i Sverige. All administration för lagring av data hanteras från juni 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All administration av nätverk hanteras från juli 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All huvudadministration av servrar hanteras från maj 2016 av registerkontrollerad och godkänd personal i Sverige.
  • All administration av applikationsdrift hanteras sedan oktober 2017 av registerkontrollerad och godkänd personal i Sverige. 

Säkerhetspolisen (Säpo) kontaktade oss sommaren 2015 och direkt efter det genomfördes omedelbara akuta åtgärder i syfte att förbättra säkerhetsnivån. Därefter har vi arbetat utifrån en åtgärdsplan med ytterligare åtgärder som måste genomföras. Denna åtgärdsplan har också delgetts Säpo. Vi kan av säkerhetsskäl inte redogöra för detaljerna i planen. Arbetet har varit tekniskt komplicerat och omfattande.

Vi har bedrivit ett omfattande arbete tillsammans med leverantören för att komma tillrätta med de brister som påtalats. Transportstyrelsens generaldirektör ser väldigt allvarligt på det inträffade. Han säger:

– Vi ska ha ordning och reda i vår verksamhet. Vi ska göra om, vi ska göra rätt, vi ska göra bättre! Säkerhetsfrågan är en av myndighetens högst prioriterade frågor idag och kommer så vara under överskådlig tid framöver.

Vi tycker inte du ska behöva vara det. Vi har vidtagit åtgärder och har säkerställt att all personal hos underleverantören är registerkontrollerad av Säpo och godkänd enligt svenska krav. Vi har tillsammans med vår driftsleverantör styrt om verksamheten där endast svensk, säkerhetsgodkänd personal ansvarar för hela driften.

De flesta medborgare i Sverige finns i något eller några av våra register. Dagligen används uppgifterna av både medborgare och företag i olika sammanhang. Det kan exempelvis handla om en bilförsäljning, ett förnyat körkort eller att ett rederis nyköpta fraktfartyg ska tas upp i den svenska fartygsflottan.

För oss på Transportstyrelsen är registren viktiga verktyg som vi behöver för att kunna utföra våra uppdrag, dvs. att utforma regler, att följa upp att reglerna efterlevs och att utfärda tillstånd inom transportområdet. Dessutom behövs vissa register för att kunna administrera skatter och avgifter inom vårt uppdrag.

Vi har ett flertal register. Vissa är väldigt stora och helt digitala, andra små och fortfarande i pappersform. Nästan all information i dem är offentlig och lämnas ut till den som begär det. Det finns dock delar av informationen som är belagd med sekretess av olika skäl. Ett av skälen är att informationen är skyddsvärd med hänsyn till rikets säkerhet eller för att skydda mot terroristbrott. Vilka delar av informationen vi förfogar över som är skyddsvärd vill vi av säkerhetsskäl inte kommentera närmare. Vi ber om förståelse för det.

Information som är skyddsvärd med hänsyn till rikets säkerhet eller skydd mot terroristbrott får bara hanteras av personer som är säkerhetsprövade enligt säkerhetsskyddslagen. Problemet som har aktualiserats under sommaren handlar alltså om en väldigt liten del av vår information. Inte om alla våra register och allt i dem.

Här följer en kortfattad sammanställning över de register vi förfogar över som kan innehålla uppgifter om dig.

Register inom vägtrafikområdet

  • Vägtrafikregistret (uppgifter om fordon, körkort, yrkestrafik, felparkeringsavgifter och trängselskatt). Dessutom finns tillhörande ärendehanteringssystem som innehåller digitaliserade kopior av ärendehandlingar som exempelvis ansökningar om körkortstillstånd och fordons registreringsbevis.
  • STRADA (Swedish Traffic Accident Data Acquistion). STRADA är ett informationssystem för data om olyckor och skador inom vägtransportsystemet. Systemet förs på uppdrag av regeringen.
  • Utbildarregistret innehåller uppgifter om personer som arbetar med förarutbildning, antingen inom trafikskolor, inom skolvärlden, Försvarsmakten eller Trafikverket.
  • Octet är ett analysverktyg som används vid handläggning inom yrkestrafikområdet. Här finns information från färdskrivare och förarkort så som namn, körkortsnummer och förarnummer.
  • Dokumentlagret är också ett system som avvänds vid handläggning inom yrkestrafikområdet. Här finns information i form av avbildningar av diagramblad samt filer från färdskrivare och förarkort som används inom yrkestrafiken samt listor över förare och fordon i yrkestrafik.
  • Uteblivna överföringar inom ramen för redovisningscentraler för taxitrafik är ett register som innehåller information från taxibranschen och deras verksamheter. Uppgifterna ska användas av Skatteverket i deras skattekontroller. 

Register inom sjöfartsområdet

  • Sjömansregistret innehåller uppgifter om sjömän och handelsfartyg där sjömän tjänstgör. Registrets syfte är att ge information om sjömäns tidigare och pågående tjänstgöring på fartyg och att kontrollera ett fartygs bemanning.
  • Fartygsregistret innehåller information om ägarskap för fartyg. Registret visar vem som är ägare till fartyget och säkerheterna i det om skeppet/skeppsbygget skulle intecknas.
  • SITS är ett register som används i vårt arbete med tillsyn på sjöfartsområdet. Det innehåller uppgifter om bland annat ägare och redare av fartyg, rederier och hamnar. Uppgifterna används vid exempelvis handläggning och fakturering.

Register inom luftfartsområdet

  • Inskrivningsregistret är ett register som har uppgifter om ägare eller innehavare av luftfartyg. Registrets syfte är att visa vem som äger den egendom som finns upptagen i registret.
  • EMPIC är ett stödsystem som används för tillstånd och tillsynsverksamhet inom luftfartsområdet. Det utgör också stöd i handläggning av olika ärenden kring flygpersonal. Systemet innehåller information om personer som arbetar som piloter, tekniker och flygledare.
  • Medicinregistret används för handläggning av medicinska intyg för flygpersonal. Det innehåller information om flygpersonal som har medicinska intyg och som har godkänts för tjänst av Transportstyrelsen.
  • PEXO är ett system som används för teoriexamination av piloter. I systemet registreras piloter.
  • Personkontrollregistret (PK-registret) används för att behandla uppgifter om personer som på grund av till exempel sin anställning ska delta i verksamhet som måste skyddas mot terrorism. Ändamålet med behandlingen är att få bekräftat att en registerkontroll är gjord och när den gjordes.
  • Lindra/Eccairs är ett system som används för händelserapportering inom luftfarten. I princip alla som arbetar inom luftfarten är skyldiga att rapportera in händelse- och olycksrapporter inom luftfarten.
  • Kabinbesättningsregistret är ett register över kabinpersonal som genomgått en kabinbesättningsutbildning. Något som krävs från och med 2013.  

Register inom järnvägsområdet

  • TRAP (Transportstyrelsens administrativa processtöd för spårbunden trafik) innehåller uppgifter kopplade till den svenska järnvägstrafiken. TRAP används som stöd i handläggning av olika järnvägsfrågor, till exempel ansökningar om lokförarbevis eller tillstånd till infrastrukturförvaltare.    
  • Historikdatabas innehåller diarieförda handlingar från tidigare järnvägsmyndigheter (Järnvägsinspektionen och järnvägsstyrelsen). 

Övergripande register

  • Didrik är Transportstyrelsens diarieföringssystem. I detta register finns uppgifter om handlingar som kommit in till myndigheten och handlingar som vi skickat ut. Syftet med diarieföringssystemet är att ha kontroll över våra ärenden och för att kunna uppfylla den grundlagsfästa offentlighetsprincipen om utlämnande av allmänna handlingar.
  • Agresso är ett administrativt system för lön och ekonomi som innehåller personuppgifter avseende kunder, anställd personal och deras nära anhöriga.
  • Visslarsystemet används för att ta emot anmälningar om misstänkta oegentligheter. Uppgifterna rapporteras in till en extern part som myndigheten har personuppgiftsbiträdesavtal med som säkerställer anonymiteten på anmälarna.
  • Reachmee är ett verktyg som används i rekryteringssammanhang. Ändamålet med verktyget är att vara ett it-stöd vid handläggning av anställningsärenden.
  • Upphandlingssystem och avtalsregister, Visma Tendsign är en plattform som vi använder oss av för att annonsera upphandlingar och där företag lämnar in sina anbud. Systemet är konstruerat för att förhindra att det går att ta del av informationen innan anbuden öppnas. I systemet finns även inköpsavtal registrerade.

Nej vi har inga militära fordon i våra register. Vi har bara civilregistrerade fordon i våra register. 

Ja, det förekommer personuppgifter som skyddas av olika sekretessregler. Vi kommer inte gå in på närmare på detaljer kring detta på grund av säkerhetsskäl.

Vi har inga indikationer som pekar på att uppgifter spridits på ett otillbörligt sätt så vi ser ingen direkt anledning till oro. Vår driftleverantör är skyldig att följa de bestämmelser som finns i personuppgiftslagen. När vi anlitar någon utomstående för att behandla personuppgifter är denne personuppgiftsbiträde åt Transportstyrelsen. I avtalet anges det att biträdet får behandla personuppgifterna men bara i enlighet med instruktioner från oss för att skydda de personuppgifter som behandlas. Bland annat att uppgifterna inte får behandlas för några andra ändamål samt att uppgifter inte får spridas till obehöriga. Transportstyrelsen har i enlighet med personuppgiftslagen skrivit ett sådant avtal med leverantören i det här fallet redan 2015-04-14. Sedan oktober 2017 hanteras all vår it-drift av svensk, säkerhetsgodkänd personal.

Vi har inga indikationer på att några uppgifter har spridits felaktigt. Transportstyrelsen har ytterligare intensifierat sitt arbete med säkerhetsfrågor och det gäller också hur registerinformationen hanteras. Säkerhetsfrågorna har högsta prioritet för myndigheten och vi har vidtagit åtgärder för att förhindra att det kan ske.

Vi har inga indikationer som pekar på att uppgifter har spridits på ett otillbörligt sätt.

Vi och vår driftleverantör har tillgång till våra databaser. Våra handläggare för att handlägga ärenden, vår driftsleverantör för att se till att systemen rullar och går dygnet runt, året om. Personalen hos vår driftsleverantör är och har varit säkerhetskontrollerad av den egna organisationen och har också fått skriva på sekretessavtal men dessa är inte likvärdiga med en svensk registerkontroll och säkerhetsprövning. Vår driftleverantör är skyldig att följa de bestämmelser som finns i personuppgiftslagen.

Det innebär konkret att vår driftleverantör ansvarar för att se till att maskinvara, nätverk och program fungerar så att de kan användas. Det ska fungera dygnet runt, året om.

All utrustning, program och data finns i Sverige och har hela tiden funnits i Sverige.

Nej. Sedan oktober 2017 hanteras all vår it-drift av svensk, säkerhetsgodkänd personal. 

Nej, databasen med körkortsbilderna driftas av svensk personal som är säkerhetsgodkänd.

Det står bland annat att leverantörens anställda ska följa lagen om offentlighet och sekretess precis som Transportstyrelsens anställda. Alla anställda hos leverantören som är del i leveransen får skriva på ett sekretessavtal. När det gäller uppgifter som omfattas av sekretess gäller bestämmelser enligt gällande sekretesslag.