Polisen "Hemliga uppgifter är väl skyddade"

Polismyndigheten har inte agerat på ett sådant sätt att hemliga personuppgifter har läckt ut till obehöriga.

Uppgifter i media gör gällande att Polismyndigheten ska ha brutit mot säkerhetsskyddsbestämmelser och att hemlig och känslig information ska ha överförts till ett privat företag. Det har varit, och är, svårt att bemöta medieuppgifter eftersom vår bedömning är att uppgifterna är sekretessbelagda med hänvisning till rikets säkerhet. Men givet att vissa uppgifter nu är kända i media, kan myndigheten delge följande:

• Polismyndigheten har inte agerat på ett sådant sätt att hemliga personuppgifter har läckt ut till obehöriga. Polisens skyddsvärda uppgifter är väl skyddade.
• Polismyndigheten har inte brutit mot eller agerat i strid med säkerhetsskyddsförordningen eller säkerhetsskyddslagen.
• Myndighetsbeslutet som har fattats speglar att IT-avdelningen getts rätten att använda datanät inom polisens kontroll för att sända hemliga uppgifter krypterade på annat sätt än genom försvarsmaktskrypto. Det är i enlighet med 13§ säkerhetskyddsförordningen. Beslutet är dock otydligt formulerat och har därför feltolkats. Det är beklagligt.

Stämmer det att polisen har överfört hemlig och känslig information till ett privat företag?

Ja, det är ett privat företag. Nej, vi har inte överfört hemliga och känsliga uppgifter. Vi har agerat helt i enlighet med säkerhetsskyddsförordningen och säkerhetsskyddslagen. De uppgifter som ska vara skyddade är väl skyddade.

Uppgifter gör gällande att känslig information om anställdas och deras anhörigas personuppgifter kan ha hamnat i orätta händer?

Det stämmer inte. Hemliga uppgifter är skyddade på det sätt säkerhetsskyddsförordningen och säkerhetsskyddslagen föreskriver. Det finns ingen risk att denna information har läckt ut till obehöriga.

Är det här arbetsuppgifter som Polismyndigheten har outsourcat?

Nej, vi har inte outsourcat dessa arbetsuppgifter. Däremot har vi ett företag som hjälper vår IT-avdelning och andra delar av Polismyndigheten att hantera driften i vårt personaladministrativa system Palasso.

Har polisen brutit mot lagen på samma sätt som Transportstyrelsen?

Nej, personalen hos företaget som arbetar för polisen är placerade i säkerhetskyddsklass och är registerkontrollerade. Företaget är inspekterade och godkända av polisens verksamhetsskydd. Personalen arbetsleds av polisens personal. Polisen har gjort en säkerhetsprövning och tecknat säkerhetskyddsavtal nivå 1 med företaget, inklusive säkerhetsskyddsinstruktion som löpande kontrolleras och följs.

Har vi överfört några känsliga uppgifter till detta externa företag?

Nej, det har vi inte.                                                               

Har vi ett säkerhetsskyddsavtal med företaget?

Ja. All deras personal är också kontrollerad enligt gällande föreskrifter, bland annat säkerhetsskyddsförordningen och säkerhetsskyddslagen.

Vad är det för slags "avsteg" som Polismyndigheten har fattat beslut om?

Vi beslutade att ge utrymme för vår IT-avdelning att inte använda Försvarsmaktens krypto, för att istället använda datanät inom polisens kontroll med andra säkerhetslösningar. Det är i enlighet med 13§ säkerhetsskyddsförordningen. Så här i efterhand kan man konstatera att beslutet borde ha formulerats tydligare. Det ger en missvisande beskrivning av vad vi de facto har gjort. Vilket vi beklagar.

Varför behövdes ens beslutet?

Det fanns i ett läge en viss risk att löneutbetalningarna till alla våra anställda inte hade gått att genomföra. Det gjorde att vi var tvungna att försäkra oss om att vi hade fler handlingsalternativ inom vår egen kontroll.

Har vi gjort något för att kvalitetssäkra att vi gör rätt bedömningar i dessa komplicerade frågor?

Ja, vi har nu dels underställt frågan till Säkerhetspolisen. Vi har också kontaktat Justitiekanslern. Vi vill att JK till tar ställning till om något brott mot tryckfrihetsförordningen har begåtts med tanke på de uppgifter som nu har framkommit i media och som enligt polisens bedömning omfattas av sekretess.

Varför har det blivit så mycket uppståndelse kring detta?

Det har blivit ett missförstånd kring grunderna för beslutet att inte använda kryptolösningen från Försvarsmakten. Det finns utrymme att använda andra säkra lösningar när det, som i detta fall, gäller IT-nätverk som kontrolleras av oss själva. Här har vårt beslut varit otydligt, vilket vi beklagar.

Varför har polisen inte ställt upp på intervjuer om detta?

Frågor om säkerheten i våra IT-system kan röra rikets säkerhet. Därför måste vi ha en försiktighetsprincip kring hur vi uttalar oss. Säger vi för mycket kan det äventyra vår informationssäkerhet.