JO dnr 445-2019

Kritik mot Pensionsmyndigheten för att en e-postbrevlåda varit obevakad med följden att ett stort antal e-postmeddelanden under närmare tio år inte blivit föremål för någon åtgärd

Beslutet i korthet: I november 2018 uppmärksammade Pensionsmyndigheten att det inom myndigheten fanns en e-postbrevlåda som under nästan tio års tid varit obevakad. E-postbrevlådan innehöll ca 600 e-postmeddelanden som inte hade besvarats och som troligen inte heller hade lästs av någon på myndigheten.

JO konstaterar i beslutet att det naturligtvis är oacceptabelt att handlingar som kommer in till en myndighet inte blir föremål för någon åtgärd under närmare tio år, och Pensionsmyndigheten kritiseras för det inträffade.

I beslutet uttalar JO att det som har hänt inom Pensionsmyndigheten visar att det är av stor vikt att myndigheter har rutiner som är anpassade efter det förhållandet att myndigheter i dag regelmässigt använder digitala verktyg i sin verksamhet, t.ex. vid hanteringen av ärenden och i kontakten med enskilda. En myndighet måste säkerställa att det finns en fungerande bevakning av de digitala kommunikationssätt som är i bruk och som myndigheten ansvarar för. På samma sätt som det inte får förekomma att brev som kommer in till en myndighet glöms eller slarvas bort, får det inte heller förekomma att en e-postbrevlåda glöms bort eller av något annat skäl är okänd för myndigheten, med följden att inkomna handlingar inte uppmärksammas.

I januari 2019 publicerades två tidningsartiklar om Pensionsmyndigheten i Svenska Dagbladet och Dagens Nyheter. Av artiklarna framgick bl.a. följande. I samband med att Pensionsmyndigheten bildades skapades en e-postbrevlåda med adressen info@pensionsmyndigheten.se. D en glömdes sedan bort och upptäcktes inte förrän i november 2018. E-postbrevlådan hade då varit obevakad sedan Pensionsmyndigheten startade sin verksamhet i januari 2010.

Med anledning av uppgifterna i tidningsartiklarna beslutade JO att granska det inträffade i ett särskilt ärende.

Pensionsmyndigheten anmodades att yttra sig över det som hänt och besvara ett antal frågor. Myndigheten uppgav följande.

I början av november 2018 fick pressekreteraren vid Pensionsmyndigheten ett e-postmeddelande som var ställt till både hans personliga e-postadress och till info@pensionsmyndigheten.se. Eftersom han inte kände igen den sistnämnda e-postadressen provade han att skicka ett meddelande dit för att se vilket svar han eventuellt skulle få. Han fick inget svar alls och inte heller något meddelande om tekniskt fel. Pressekreteraren vände sig därför till myndighetens it-avdelning, som kunde bekräfta att e-postadressen fanns. De kunde också få fram en namngiven ägare till e-postadressen, en personalspecialist på myndighetens administrativa avdelning.

Pensionsmyndigheten kunde snabbt konstatera att e-postadressen innehöll e-postmeddelanden från så tidigt som maj 2009. Vid den tidpunkten fanns inte Pensionsmyndigheten formellt. Myndigheten var i stället under bildande genom Pensionsmyndighetsutredningen (PMU). Pensionsmyndigheten bildades först den l januari 2010 och PMU var tillsatt av regeringen för att förbereda bildandet av myndigheten. Förberedelser för Pensionsmyndighetens interna it-miljö, som till exempel nätverk och övrig infrastruktur, hanterades vid tidpunkten av it-avdelningen på Premiepensionsmyndigheten (PPM).

Den aktuella e-postadressen skapades av PPM:s it-avdelning den 24 april 2009. Vi har inte kunnat fastställa exakt hur det gick till, men troligtvis skapades den på uppdrag av den del inom PMU som ansvarade för personalfrågor våren 2009 och som ville ha den för rekryteringar inför starten av den nya myndigheten. En särskild kopia av det digitala rekryteringssystemet Rekrytera skapades inför rekryteringen och högst troligt är det där, och enbart där, som den aktuella e-postadressen hade, eller var tänkt att ha, någon praktisk funktion.

Sedan e-postadressen hade skapats förefaller det som att den glömdes bort. Enligt uppgift från medarbetare vid Pensionsmyndighetens kommunikationsavdelning, som dessutom var med i arbetet med bildandet av Pensionsmyndigheten, har e-postadressen aldrig exponerats externt på Pensionsmyndighetens webbplats.

Den aktuella e-postadressen innehöll när den upptäcktes ungefär 600 obesvarade meddelanden över en period om tio år. I sammanhanget kan vi nämna att Pensionsmyndighetens kundservice bara under 2018 besvarade ungefär 120 000 e-postmeddelanden.

JO:s frågor

1. Vad är anledningen till att e-postlådan varit obevakad sedan 2010? Pensionsmyndigheten kan inte svara på hur länge e-postadressen har varit obevakad, det vill säga om det är från den 24 april 2009, från januari 2010 eller om den någonsin bevakats. Den mest troliga förklaringen till att e-postadressen har stått obevakad under lång tid är den mänskliga faktorn, det vill säga att den har beställts för syftet som vi har beskrivit ovan men sedan glömts bort, möjligen för att det visade sig att behovet av den inte fanns. Uppenbarligen har det heller inte funnits några rutiner vid till exempel Pensionsmyndighetens it-avdelning för att upptäcka att e-postadressen stått obevakad under så lång tid och inte heller från PMU:s sida i samband med att utredningen avslutades den 31 december 2009.

2. Hade det inträffade kunnat undvikas och i sådant fall på vilket sätt? Det inträffade hade kunnat undvikas om det inom PMU hade funnits rutiner för att aktivt söka efter inaktiva e-postadresser. Pensionsmyndigheten hade också kunnat ha rutiner för att aktivt söka efter obevakade e-postadresser.

Pensionsmyndigheten håller också på att ta fram nya rutiner för att säkerställa att det framöver alltid finns en tydlig ägare till funktionsbrevlådor och att dessa endast ska vara externt tillgängliga när det är absolut nödvändigt. En annan åtgärd, som vi redan har vidtagit, är att förhindra att personliga e-postadresser kan stå obevakade i samband med att en medarbetare avslutar sin anställning. Tidigare kunde detta ske i upp till tre månader. Enligt våra rutiner ska den som har slutat sin anställning på Pensionsmyndigheten ha lagt till ett frånvaromeddelande till sin e-postadress. Numera döps e-postadresserna om omedelbart i samband med att respektive chef avslutar anställningen administrativt. Det gör att de som eventuellt skickar ett e-postmeddelande till en sådan adress får ett svarsmeddelande om att e-postadressen inte existerar.

4. Finns det risk för att det inträffade har orsakat rättsförluster eller andra negativa effekter för enskilda och, om så är fallet, vilka? JO vill ha en allmän beskrivning av Pensionsmyndighetens bedömning av den frågan. Det kan inte uteslutas att det inträffade har orsakat en rättsförlust eller andra negativa effekter i det enskilda fallet, till exempel kopplat till något omprövningsärende. Vi har vid vår genomgång hittat ett fåtal inkommande e-postmeddelanden som vi har vidarebefordrat till vår omprövningsenhet samt ett e-postmeddelande där vi har skapat ett ärende om omräkning av bostadstillägg. Om det framkommer att den enskilde har förlorat ekonomiskt på det inträffade har hen möjlighet att begära skadestånd från Pensionsmyndigheten.

I vissa fall från 2018 har konsekvensen blivit att den enskilde har fått ett fördröjt svar. I de allra flesta fall verkar det dock som att den enskilde har hört av sig via andra kanaler när hen inte fått något svar från den nu aktuella e-postadressen, vilket har minskat risken för negativa konsekvenser. Detta tillsammans med det faktum att e-postadressen aldrig har exponerats på Pensionsmyndighetens webbplats borde rimligen ha medfört att risken för negativa konsekvenser för den enskilde är begränsad.

5. Vilka åtgärder har Pensionsmyndigheten vidtagit med anledning av de konsekvenser som det inträffade kan ha fått för enskilda? En första genomgång av samtliga inkommande e-postmeddelanden som fanns i den aktuella e-postadressen är avslutad. Vissa meddelanden har vi svarat på och vissa har vi kunnat avfärda utan vidare åtgärd. En del e-postmeddelanden har vi skickat vidare inom organisationen för fortsatt handläggning.

Hittills har Pensionsmyndigheten inte kunnat fastställa några allvarliga konsekvenser för enskilda. Arbetet med en fördjupad genomgång av återstående e-postmeddelanden pågår dock.

6. Har Pensionsmyndigheten vidtagit några andra åtgärder med anledning av det inträffade? Pensionsmyndigheten har vidtagit de åtgärder som framgår under fråga 3 ovan.

Pensionsmyndighetens inställning

Pensionsmyndigheten ser allvarligt på det inträffade. Vår hantering av den aktuella e-postadressen har varit mycket bristfällig och klandervärd.

Av vad som framkommit hittills verkar ingen enskild ha lidit någon allvarlig rättsförlust eller annan förlust till följd av det inträffade. Pensionsmyndigheten har dock vidtagit de åtgärder som vi har ansett nödvändiga för att undvika att något liknande händer igen.

Allmänna handlingar ska registreras så snart de har kommit in till eller har upprättats hos en myndighet. Handlingar som inte omfattas av sekretess behöver dock inte registreras om de hålls ordnade så att det utan svårighet kan fastställas om de har kommit in eller upprättats. Om det är uppenbart att en allmän handling är av ringa betydelse för myndighetens verksamhet, behöver den varken registreras eller hållas ordnad. (Se 5 kap. 1 § offentlighets- och sekretesslagen , OSL).

Bestämmelsen i 5 kap. 1 § OSL om att allmänna handlingar ska registreras så snart de har kommit in eller upprättats innehåller inte någon bestämd tidsgräns. JO har emellertid i tidigare beslut uttalat att det ligger i sakens natur att registreringen ska ske så snart det är praktiskt möjligt, normalt senast påföljande arbetsdag (se bl.a. JO 2007/08 s. 565, dnr 3579-2005 ).

Om det finns särskilda skäl får regeringen meddela föreskrifter om att handlingar av ett visst slag som finns i betydande omfattning hos en myndighet inte behöver registreras (se 5 kap. 3 § OSL ). Sådana föreskrifter finns i 2 § offentlighets- och sekretessförordningen. Av bestämmelsen framgår bl.a. att Pensionsmyndigheten, i fråga om handlingar som omfattas av sekretess, inte behöver registrera statistiskt primärmaterial eller handlingar i försäkringsärenden.

Av 6 och 7 §§ förvaltningslagen framgår att en myndighet ska vara tillgänglig för enskilda samt se till att kontakterna med enskilda blir smidiga och enkla. Myndigheten ska lämna den enskilde sådan hjälp att han eller hon kan ta till vara sina intressen. Hjälpen ska ges i den utsträckning som är lämpligt med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Den ska ges utan onödigt dröjsmål. Motsvarande bestämmelser fanns i 4 och 5 §§ i den förvaltningslag som gällde fram till den 1 juli 2018.

I förvaltningslagen finns ett antal bestämmelser om hur ett ärende ska handläggas (se särskilt 9 § och 19 22 §§ förvaltningslagen ). I den tidigare förvaltningslagen fanns bestämmelser som delvis motsvarar det som nu gäller. I både den nya och den tidigare lagen har det särskilt angetts att ett ärende ska handläggas snabbt och rättssäkert.

Pensionsmyndigheten startade sin verksamhet den 1 januari 2010. Inför bildandet av myndigheten skapades en e-postbrevlåda med adressen info@pensionsmyndigheten.se. Brevlådan glömdes sedan bort och var obevakad under nästan tio års tid. Av en tillfällighet upptäcktes e-postbrevlådan i november 2018, och det kunde då konstateras att den innehöll ca 600 e-postmeddelanden som inte hade besvarats och troligen inte heller lästs av någon på myndigheten.

En myndighet har ett ansvar för de e-postbrevlådor som är i bruk och som är knutna till myndigheten. Det gäller även för brevlådor som inte längre används eller som enskilda aldrig har blivit hänvisade till att använda. I detta fall har enskilda kunnat skicka e-postmeddelanden till den aktuella adressen utan att få något felmeddelande eller någon annan information om att brevlådan inte är i bruk. Den som har skickat ett e-postmeddelande till adressen har därmed haft anledning att räkna med att meddelandet hanterats i enlighet med de krav som ställs på myndigheter när det gäller inkommande post.

Pensionsmyndigheten administrerar och betalar ut den allmänna pensionen och annan ersättning som många människor är beroende av för sin försörjning. I en sådan verksamhet gör sig kravet på en snabb och rättssäker handläggning särskilt starkt gällande. Detsamma gäller kraven på tillgänglighet och service. Utredningen i detta ärende har inte tagit sikte på att närmare utreda vilka konsekvenser som det inträffade – att e-postmeddelanden inte tagits om hand av myndigheten – har fått i varje enskilt fall. Jag kan dock konstatera att de som har försökt att kontakta Pensionsmyndigheten på den aktuella adressen inte har fått något svar. Även om Pensionsmyndigheten har uppgett att de allra flesta har hört av sig till myndigheten på något annat sätt, kan det inte uteslutas att det inträffade har orsakat rättsförluster eller andra negativa effekter för enskilda. Detta har även bekräftats i remissvaret.

Pensionsmyndigheten har redogjort för de åtgärder som hittills har vidtagits och bl.a. uppgett att samtliga inkomna e-postmeddelanden har gåtts igenom. Arbetet med en fördjupad genomgång pågår fortfarande, men myndigheten har hittills inte konstaterat några allvarliga konsekvenser för enskilda. Det har t.ex. endast funnits ett fåtal e-postmeddelanden som avsett omprövning, och de har nu tagits om hand för vidare handläggning.

Mitt intryck är att Pensionsmyndigheten har tagit situationen på stort allvar, och jag ser positivt på de åtgärder som hittills har vidtagits. Detta förtar dock inte allvaret i att enskilda under ett stort antal år har skickat e-postmeddelanden som inte tagits om hand av myndigheten. Med hänsyn till den verksamhet som Pensionsmyndigheten bedriver hade det inträffade kunnat få allvarligare konsekvenser än de som hittills har kunnat fastställas. Det är naturligtvis oacceptabelt att handlingar som kommer in till en myndighet inte blir föremål för någon åtgärd under närmare tio år.

Med den kritik som ligger i det jag har anfört avslutas ärendet.