JO dnr 2437-2006
Fråga om röjande av sekretessbelagda uppgifter; felaktig hantering när ett e-postmeddelande skapats har medfört att mottagaren haft möjlighet att ta del av uppgifter rörande en annan person
I en anmälan till JO framförde AA och BB klagomål mot CC, chef för enheten för handikapp, psykiatri och beroende, socialtjänsten i Nacka kommun. Anmälarna anförde bl.a. att CC genom ett e-postmeddelande hade spridit sekretessbelagda uppgifter rörande deras dotter, DD, till en utomstående person. Till anmälan hade fogats vissa handlingar.
Socialnämnden i Nacka kommun anmodades att inkomma med utredning och yttrande över vad som hade framförts i AA:s och BB:s anmälan till JO. Som sitt remissvar lämnade nämnden ett av ordföranden EE och tf. socialdirektören FF upprättat yttrande i vilket anfördes i huvudsak följande.
Enheten för Handikapp, psykiatri och beroende skickade på uttrycklig begäran ett brev om korttidsvistelse i form av så kallad kolloverksamhet, per e-post till en förälder till ett barn som är berättigad till insatser enligt lagen om särskilt stöd och service till vissa funktionshindrade, LSS. Vid framtagandet av brevet skrevs det inte i en ny mall för utgående skrivelser utan ett äldre dokument återanvändes och informationen i det anpassades efter det barn det nu handlade om. När brevet öppnades elektroniskt kunde föräldern spåra ändringar i brevet, genom att alla ändringar var markerade i marginalen eller kunde tas fram genom att använda funktionen ”spåra ändringar” i verktygsmenyn. Föräldern fick på det sättet del av information som funnits i det första dokumentet, om ett annat barn.
Det inträffade är inte acceptabelt och beror på en oavsiktlig men felaktig hantering av word-programmet och att det nya brevet inte har skrivits i en nyöppnad dokumentmall. Rutiner som syftar till att det inträffade inte ska kunna hända igen har skapats och skall tillämpas inom samtliga enheter under Socialnämndens ansvarsområde. Socialdirektören kommer att redovisa det inträffade för kommunens tjänstemannaledning för att även den övriga organisationen i kommunen skall observera behovet av motsvarande rutiner.
De utarbetade rutinerna innebär att en ny, inte tidigare använd mall alltid skall användas. Till dess kommunen har tekniska förutsättningar att förhindra att borttagen text kan återskapas – oavsett att ny dokumentmall används i varje enskilt fall – kommer brev skickas som vanlig post och inte elektroniskt.
AA och BB bereddes tillfälle att yttra sig över remissvaret.
Det kom till JO:s kännedom att Datainspektionen hade utrett frågan om den behandling av personuppgifter som ägt rum genom att ifrågavarande e- postmeddelande hade skickats (Datainspektionens ärende dnr 1082-2006). I anledning av detta inhämtades kopia av Datainspektionens beslut den 12 december 2006 i ärendet. I beslutet anfördes bl.a. följande.
Datainspektionen konstaterar att Socialnämnden i Nacka kommun har behandlat känsliga personuppgifter i sitt e-postsystem utan att vidta tillräckliga säkerhetsåtgärder enligt 31 § personuppgiftslagen .
Datainspektionen förelägger Socialnämnden i Nacka kommun att krypteringsskydda känsliga personuppgifter när de kommuniceras över ett öppet nät samt att vidta tekniska åtgärder för att säkerställa att endast den tänkta mottagaren kan ta del av uppgifterna.
I ett beslut den 18 april 2007 anförde JO André följande.
Enligt huvudregeln i 7 kap. 4 § första stycket sekretesslagen (1980:100) gäller sekretess inom socialtjänsten för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom eller henne närstående lider men. I bestämmelsens tredje stycke anges att med socialtjänst jämställs bl.a. verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade.
Uppgift om att en viss person erhåller insatser enligt lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade, LSS, är en sådan uppgift om enskilds personliga förhållanden som typiskt sett omfattas av sekretessbestämmelsen. Även uppgift om en persons adress anses falla under begreppet personliga förhållanden (se prop. 1979/80:2 del A s. 84 och s. 181).
Den nämnda sekretessbestämmelsen innehåller ett s.k. omvänt skaderekvisit, vilket i huvudsak innebär att uppgifter om enskilds personliga förhållanden inte kan lämnas ut utan den enskildes samtycke eller med stöd av lag eller förordning som sekretesslagen hänvisar till.
Av utredningen framgår följande. En person hade ställt vissa frågor till socialtjänsten i Nacka kommun angående s.k. kolloverksamhet. Socialtjänsten besvarade frågorna i ett e-postmeddelande. När meddelandet skapades återanvändes ett gammalt dokument rörande DD och informationen anpassades till de aktuella förhållandena. När meddelandet öppnades elektroniskt var det möjligt för mottagaren, som var en i förhållande till DD utomstående person, att ta del av uppgifter om bl.a. DD:s personliga förhållanden. Uppgifterna var i vart fall delvis sådana att de omfattades av sekretesskyddet i 7 kap. 4 § första stycket sekretesslagen .
Socialtjänsten har, genom att skicka e-postmeddelandet, röjt sekretessbelagda uppgifter rörande DD till en utomstående person. Att röja uppgift som omfattas av sekretess kan medföra ansvar för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken . I förevarande fall har emellertid uppgiftsutlämnandet inte skett uppsåtligen, utan har berott på en felaktig hantering när e- postmeddelandet skapades. Socialnämnden har beklagat det inträffade och förklarat att åtgärder har vidtagits för att förebygga ett upprepande. Det inträffade är naturligtvis inte godtagbart. Jag finner dock inte skäl att vidta någon ytterligare åtgärd i saken, utan nöjer mig med den kritik som framgår av det anförda.