• I april 2015 tecknade Transportstyrelsen ett avtal med IBM Sverige om driften av myndighetens IT-system (outsourcing). Avtalet innebär att IBM Sverige ansvarar för att maskinvara, nätverk och program fungerar. Avtalet gäller till och med den 31 oktober 2020 med möjlighet till förlängning. IBM Sverige har underleverantörer utomlands.
• I samband med outsourcingen till IBM Sverige beslutade dåvarande generaldirektör Maria Ågren under första halvåret 2015 om avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen samt myndighetens egen riktlinje för krav på informationssäkerhet.
• Under senare delen av 2015 genomförde Säpo en tillsyn av myndighetens säkerhetsskydd. Säpos tillsyn avslutades den 16 juni 2017.
• I januari 2016 inledde åklagare en förundersökning som bygger på säkerhetspolisens tillsynsrapport.
• Den 19 januari 2017 avskedades Maria Ågren från tjänsten som generaldirektör i Transportstyrelsen.
• Den 26 juni 2017 fick Maria Ågren ett strafföreläggande som innebär dagsböter på grund av vårdslöshet med hemlig uppgift, men utan uppsåt.
• Den 3 augusti 2017 fick Transportstyrelsen i uppdrag av regeringen att kartlägga vilka uppgifter som hanterats av icke-säkerhetsklassad personal i samband med utkontrakteringen och att bedöma vilka åtgärder som eventuellt krävs för att framöver hantera skyddsvärda uppgifter på ett lämpligt sätt. Utredningen, som redovisades den 23 januari 2018, visar att informationen varit tillgänglig för leverantörens personal som inte varit säkerhetskontrollerad enligt svensk lag, men att det inte finns några indikationer på att den hamnat i orätta händer.
• Den 3 augusti 2017 beslutade regeringen också att tillsätta en oberoende utredare som ska genomlysa händelserna som ledde fram till att säkerhetskänslig och av andra skäl sekretessbelagd information hanterades på ett sätt som strider mot svensk lagstiftning.