Stulen identitetSå här stjäl skurkarna dina personuppgifter

och så här skyddar du dig

”Det är vansinnigt enkelt att stjäla någons identitet.”

Kriminalinspektör Lars Minnedal

Därför har Datainspektionen svårt att ingripa mot bluffakturorna

Får arbetsgivaren läsa din privata e-post?Testa dina kunskaper om vilka regler som gäller i arbetslivet

Datainspektionens tidningnr 2/2012

Integritet i fokus

produceras av Data inspektionen

Box 8114, 104 20 Stockholm

Tfn 08-657 61 00 (växel)

www.datainspektionen.se

Ansvarig utgivare

Göran Gräslund

Redaktör

Per Lövgren

Formgivning

Fredrik Karlsson

Omslag

Litet foto: Martin Agfors.

Tryck

Tryckt hos Ineko AB i Årsta på Ar-

ctic Volume White papper. Mil-

jömärkt trycksak 341142.

ISSN 2000-5857.

Kontakta redaktionen

Har du synpunkter, tips på artiklar

eller frågor om tidningen? Mejla till

redaktionen@datainspektionen.se.

Gratis prenumeration

En prenumeration på Integritet i

fokus är gratis. Lättast anmäler du

dig på vår webbplats. Integritet i

fokus kan även laddas ner i pdf-for-

mat från vår webbplats. Tidningen

kommer ut fyra gånger per år.

Besök www.datainspektionen.se

På vår webbplats kan du läsa mer

om integritetsfrågor. Passa även på

att prenumerera på vårt nyhets-

brev så får du pressmeddelanden

och annat aktuellt från Datainspek-

tionen.

Nya fotbollsskor mäter spelarnas prestanda¥ Sportsko- och klädesföretaget Adi-

das har utvecklat en ”intelligent” fot-

bollssko. I skons sula sitter en da-

torkrets som kontinuerligt registrerar

löpt sträcka, antal ruscher, maxhastig-

het, spelintensitet och liknande. Adize-

ro F50 miCoach, som produkten heter,

ska användas vid en fot-

bollsmatch i USA i slu-

tet av juli då lagens

tränare via en surf-

platta i realtid ska

kunna övervaka spelar-

nas prestanda.

Datorchip spårar brasilianska skolelever¥ I Brasilien har 20 000 skolelever i

kommunen Vitoria da Conquista börjat

använda t-shirts som är försedda med

en speciell datorkrets. Den här ”intelli-

genta” skoluniformen gör det möjligt

för föräldrarna att få reda på när deras

barn gått in i skolan genom att ett sms

skickas till deras mobiltelefon. Föräld-

rarna kan även få en sms-varning om

barnet skolkar. Till år 2013 ska samtliga

kommunens 43 000 skolelever i åldrar-

na 4-14 år använda t-shirts med spår-

ningskrets.

Danmark blockerar Google och Facebook¥ Den första mars kunde danska In-

ternet-användare inte längre komma

åt Google och Facebook. Precis som

Sverige har Danmark ett filter som ska

blockera åtkomsten till barnporrsajter.

Listan med blockerade sajter kommer

från polisen som av misstag hade lagt

till runt 8 000 helt legitima sajter, däri-

bland Google och Facebook. Inciden-

ten i mars påverkade endast två min-

dre Internet-leverantörer i Danmark

men enligt uppgift var det bara tur att

inte även de stora Internet-leverantö-

rerna drabbades.

Tre miljoner slagningar i brottsregister¥ Under förra året gjordes nästan

tre miljoner slagningar i det brittiska

brottsregistret, Criminal Records Bu-

reau, uppger organisationen Big Broth-

er Watch. Runt 4 000 organisationer

har rätt att göra slagningar i registret

som är menat att skydda barn från att

komma i kontakt med farliga vuxna.

Enligt uppgift innehåller registret felak-

tigheter vilket gjort att oskyldiga per-

soner pekats ut som sexförbrytare och

förlorat sina jobb.

Google bygger in Internet i glasögon¥ Få tekniknördar har kunnat undgå

Googles senaste projekt, Project Glass,

som utvecklats av Google X som är fö-

retagets ”hemliga labb” för långsiktiga

forskningsprojekt. Google har byggt in

en kamera, mikrofon och Internet-för-

bindelse i ett par glasögon som dess-

utom kan projicera en bild med rele-

vant information för glasögonbäraren.

Tanken är att glasögonen ska kunna

ersätta mobilen för att leta upp infor-

mation, översätta text, få vägbeskriv-

ningar och liknande. Här finns en video

som visar hur glasögonen kan komma

att användas i framtiden: http://youtu.

be/9c6W4CCU9M4

OMväRLDeN

2 Integritet i fokus nr 2-2012 – Datainspektionen

Personnummer stals vid dataintrång¥ Skatteverket varnar i ett pressmed-

delande att ett företag som hanterar

uppgifter från folkbokföringen har ut-

satts för dataintrång. Personnummer

för ett antal personer med skyddade

personuppgifter har kopierats. ”Jag har

stor förståelse för att man känner oro

om ens personnummer har kopierats

men det finns inget som tyder på att

namn- eller adressuppgifter har kom-

mit ut”, säger Anders Kylesten, säker-

hetschef på Skatteverket. Myndigheten

varnar dock för att det för drygt tusen

personer kan vara teoretiskt möjligt att

annan information har kopierats. Hän-

delsen har polisanmälts av företaget

som utsattes för dataintrånget.

Spred nakenbilder på sina assistenter¥ En 37-årig man har dömts för grovt

förtal efter att ha publicerat nakenbil-

der på sina två personliga assistenter

på olika webbsidor. Mannen hade satt

upp en kamera inne på sin toalett och

fotograferade en av sina personliga as-

sistenter där. Han skaffade sig även åt-

komst till den andra kvinnans dator

och stal från den flera nakenbilder som

kvinnan hade på sig själv. Förutom na-

kenbilder publicerade mannen även

kvinnornas namn, telefonnummer och

e-postadresser. Mannen dömdes till 75

timmars samhällstjänst och att beta-

la sammanlagt 50 000 kronor i skade-

stånd till de två kvinnorna.

Skadestånd för felaktig hantering av hemlig adress¥ En kvinna med skyddad adress har

fått en kallelse från en domstol skick-

ad till sin hemliga adress med hennes

personuppgifter synliga på kuvertet.

Justitiekanslern konstaterar att kvin-

nans personuppgifter har hanteras på

ett sätt som står i strid med person-

uppgiftslagen och ålägger Domstols-

verket att betala 10 000 kronor i ersätt-

ning till kvinnan.

Bloggande pappa fälld i domstol¥ En pappa som har bloggat om sin

pågående vårdnadstvist har dömts för

brott mot personuppgiftslagen. Data-

inspektionen har tagit emot flera kla-

gomål mot bloggen och konstatera-

de 2010 att ett par av inläggen på den

bröt mot personuppgiftslagen. Man-

nen hävdade att bloggen har ett jour-

nalistiskt ändamål vilket gör att stora

delar av personuppgiftslagen inte skul-

le gälla. Datainspektionen ansåg dock

att undantaget för journalistiskt ända-

mål inte gäller om uppgifterna som pu-

bliceras är av rent privat karaktär. Inläg-

gen ifråga har tagits bort från bloggen

men åklagare ansåg ändå att det fanns

skäl att väcka åtal för brott mot person-

uppgiftslagen. Mannen dömdes till 50

dagsböter.

JO: Polisen kan aldrig garantera anonymitet¥ Justitieombudsmannen (JO) är kri-

tisk till att polisen på sin webbplats an-

vänder formuleringar som ”du kan vara

anonym om du vill”. Detta eftersom

polisen inte kan garantera uppgifts-

lämnarens anonymitet. ”I polisens fall

råder en långtgående dokumentations-

plikt. Bland annat gäller att person-

uppgifter om målsäganden och vittnen

ska antecknas i förundersökningsmate-

rialet. Detta kan inkludera sådant som

den som lämnar ett tips kanske inte

tänker på att polisen kan uppmärksam-

ma, till exempel numret till den telefon

varifrån en uppgiftslämnare ringer”,

skriver JO i sitt beslut. JO varnar för att

formuleringarna på polisens webbplats

bäddar för situationer där enskilda ”kan

ha anledning att känna sig svikna” och

vill att polisen ser över texterna.

Polisen varnar för nytt datorbedrägeri¥ En ny typ av datorbedrägeri har

dykt upp. När man besöker vissa, san-

nolikt mindre rumsrena, webbplatser,

dyker ett varningsmeddelande upp.

Meddelandet är utformat för att se ut

som om det kommer från polisen och

talar om att datorns operativsystem

har blockerats på grund av brott mot

svensk lag. För att låsa upp datorn mås-

te man betala 100 euro i böter. Med-

delandet kommer inte från polisen och

det förekommer inte heller att polisen

bötfäller någon via Internet.

16-åring hotade publicera bilder och personuppgifter¥ En 16-årig pojke har åtalats för att

med hot försökt få sju flickor, som är

mellan 10 och 13 år gamla, att pose-

ra framför en webbkamera. Nyhetsby-

rån TT uppger att hoten bland annat

ska ha bestått i att hacka flickornas da-

torer och lägga ut bilder och person-

uppgifter på Internet.

SveRIGe

3Integritet i fokus nr 2-2012 – Datainspektionen

6777 910 34712310 262 9998

561202-6566

4 Integritet i fokus nr 2-2012 – Datainspektionen

SMS-lån i någon annans namn. En brevlåda som vittjas när ett nytt kre-ditkort kommit på posten. De här, och andra typer av identitetsstölder har blivit ett jätteproblem och bedrägerier är numera den fjärde vanligaste typen av brott i Sverige efter brott som snat-teri och skadegörelse. Och mörkertalet är mycket, mycket stort säger polisens utredare.

I mars i år åtalas en 21-årig man för grovt bedrägeri vid tingsrätten i Sollentuna efter att ha kapat över femtio identiteter och tagit SMS-lån för flera hundra tusen kronor. Den unge mannen har hämtat information om de identiteter han kapat på Internet och även ringt till Skatteverket för information. Från ett kreditupplysningsföretag har han sedan begärt kreditupplysningar. Därefter har han ringt till telefonbolag och uppgett att han tappat bort sitt SIM-kort. När telefonbolaget ställde personfrågor kunde han, genom sina

tidigare efterforskningar, svara på dem och få ut nya SIM-kort som han sedan tagit SMS-lån på. Pengarna från lånen har 21-åringen sedan fört över till sitt privata konto.

Det här är bara ett exempel på den våg av identitetsstölder som tycks skölja över landet just nu.

– Det är vansinnigt enkelt att stjäla någons identitet, säger Lars Minnedal, kri-minalinspektör vid en av Stockholms tre bedrägerirotlar.

Lars Minnedal berättar att det kommer in ungefär 30 000 anmälningar per år om olika former av bedrägerier, däribland identitets-

Stulna identiteter ökar dramatiskt

6777 910 34712310 262 9998

670530-2319

740226-34864526 050 3456

451012-00952373

” Mörkertalet är enormt. Det begås mycket, mycket, mycket fler identitetsstölder än vad som anmäls

5Integritet i fokus nr 2-2012 – Datainspektionen

stölder. I Stockholm. Enbart på bedrägerirotel City, där Lars arbetar, tar man emot i runda slängar 1 000 ärenden per månad.

– Och då ska man tänka på att mörkertalet är enormt. Det begås mycket, mycket, mycket fler identitetsstölder än vad som anmäls.

Faktum är att identitetsstölder och andra former av bedrägerier seglat upp som det fjärde största brottsområdet i Sverige. Störst

är tillgreppsbrott som stöld och snatteri, följt av våld på offentlig plats och skadegörelse.

– Tyvärr är trenden oroväckande. Vi kom-mer att ha mörka år framöver när det gäller identitetsstölder.

Stockholmspolisens bedrägerirotlar har en gemensam Facebook-sida (www.facebook.com/BedragerirotelnStockholm). På den re-dovisar bedrägerirotel Syd hur det såg ut en vanlig dag på jobbet den 3 april vilket du kan se i rutan här bredvid. Det ger en liten fing-ervisning om hur stort problemet med stulna identiteter är.

Det perfekta brottetEnligt Lars Minnedal är identitetsstöl-der något av det perfekta brottet sett ur ”skurkperspektiv”.

– Att begå värdetransportrån är farligt, risken är stor att åka fast och förövarna döms ofta till långa fängelsestraff. Begår man i stället identitetsstölder är det svårt att åka dit, ibland har vi små möjligheter att utreda brottet och även om man skulle åka dit riske-rar man bara relativt milda påföljder.

Lars Minnedal definierar identitetsstöld som ”när en bedragare har utnyttjat någon annan människas personuppgifter i bedräg-ligt syfte”.

– Det finns en uppsjö olika varianter av identitetsstölder och det finns säkert tillvä-gagångssätt som vi på polisen inte känner till idag. De som sysslar med sådant här är väldigt kreativa och försöker hela tiden hitta nya sätt att utnyttja ”systemet”.

En klassisk identitetsstöld är att beställa ett nytt bankkort i någon annan persons namn. Kortet skickas till rätt adress, men när

– vi kommer

att ha mörka år

framöver när det

gäller identitets-

stölder, tror Lars

Minnedal.

4285 9030 2854 3390

560517-6645

FOT

O:

MA

RT

IN A

GFO

RS

6 Integritet i fokus nr 2-2012 – Datainspektionen

-53212 080 4276

brevet med bankkortet stoppas i brevlådan, är bedragaren där och snappar upp det. Samma sak ett par dagar senare när banken skickar pin-koden till kortet.

I slutet av mars riktade Rikspolisstyrelsen kritik mot kortutgivarna och efterlyste för-bättrade säkerhetsrutiner då de lämnar ut nya bankkort.

– Dessa brott utgör ett stort problem för de drabbade individerna, kortutgivarna och de rättsvårdande myndigheterna. Med hjälp av förbättrade säkerhetsrutiner vid utlämning kan vi minska antalet brott, sade rikspolis-chef Bengt Svenson i mars.

Rikspolisstyrelsen har uppmanat de svens-ka medlemmarna i kortutgivarorganisationen Pan-Nordic Card Association att ändra sina rutiner och rekommenderar, bland annat, att det ställs krav på att kunden ska visa en giltig identitetshandling för att kunna hämta ut sitt bankkort eller sin pinkod.

Falska SMS-lånPå senare tid tycks dock identitetskaparna ha övergett brevlådevittjningen för att i stället ta SMS-lån i andra personers namn. En be-dragare skaffar ett anonymt kontantkort till sin mobiltelefon. Därefter registrerar han (ja, det är oftast män som sysslar med identitets-stölder) via exempelvis Hitta.se att kontant-kortet tillhör någon annan person, offret. Till sist ringer han ett SMS-låneföretag och begär att få låna pengar. SMS-låneföretaget ställer ett par kontrollfrågor för att försöka fast-ställa personens identitet, som exempelvis i vilket stjärntecken man är född i. Bedragaren har dock gjort sin hemläxa och har från Skattverket och sajter som Birthday.se

hämtat tillräckligt med personuppgifter för att kunna svara på frågorna.

– Sajter som Birthday.se är rena smör-gåsbord av personuppgifter, inflikar Lars Minnedal.

Slutligen begär bedragaren att få pengarna insatta på ett konto som han själv kontrol-lerar, exempelvis via en ”målvakt”. En litet mer sofistikerad variant är triangelbedrä-

varning för falska supportsamtalI slutet av februari i år gick po-

lisen ut med ett pressmeddelan-

de och varnade för en ny typ av

dataintrång och bedrägeri. Den

utsatta personen blir uppringd

av någon som påstår sig komma

från Microsofts support. Perso-

nen som ringer erbjuder sig att

hjälpa till med att lösa olika da-

torproblem, till exempel att ren-

sa datorn från virus. Följer man

de anvisningar som lämnas kom-

mer datorn att bli utan skydd

från angrepp utifrån, man kan ta

del av all information som finns

på hårddisken och allt som skick-

as till Internet, till exempel in-

loggningar på mejlkonton, bank-

inloggningar och liknande.

– Den som får ett samtal av

den här typen uppmanas att av-

sluta samtalet snarast och att

inte följa några instruktioner som

ges, säger Anders Ahlqvist, It-

brottsspe-

cialist på

Rikspolis-

styrelsen i

pressmed-

delandet.

4285 9030 2854 3390

560517-6645

en dag på jobbet hos bedrägerirotelnSå här såg en helt vanlig dag på

jobbet ut för personalen på be-

drägerirotel Syd i Stockholm tis-

dagen den 3 april i år.

Försök till bedrägeri

Utger sig i telefon för att ringa

från Microsoft 2 st (se ovan)

Mailförsök för att få ut konto-

kortsuppgifter 1 st

Identitetskapningar

Kreditbedrägerier (lån) 4 st

Kreditbedrägerier (kort) 6 st

Bedrägeri i butik (telefon) 2 st

Obehörigt tecknande av telefon-

abonnemang 3 st

Beställt varor i annans namn 5 st

Övriga bedrägerier

Blocketbedrägeri 3 st

Lägenhetsbedrägerier 3 st

Bluffakturor 4 st

ROT-avdragsbedrägeri 1 st

Bilbedrägeri mot bilfirma 2 st

Oäkta guld vid vägkanten 1 st

7Integritet i fokus nr 2-2012 – Datainspektionen

geriet. Bedragaren tar då SMS-lån i en an-nan persons namn, köper en dyrare vara på Blocket, frågar efter säljarens kontonummer och använder det som insättningskonto för SMS-lånet. Säljaren på Blocket blir då ofri-villigt och ovetande ”målvakt” i bedrägeriet.

Bedragaren kan sedan sälja den vara han köpt för SMS-lånet för att få tillbaka reda pengar.

Lars Minnedal beskriver kontantkortstele-

foner som ”ett evigt jävla helvete” och menar att de närmast inbjuder till bedrägeri. Han är också kritisk till hur lätt det är att via exempelvis Skattverket få reda på så mycket personuppgifter om andra människor.

– Den svenska offentlighetsprincipen har blivit ett verktyg som utnyttjas av skurkar. Vem som helst kan helt anonymt, utan att uppge någon orsak, ringa Skatteverket och begära ut adress, personnummer och liknande om vem som helst. Man ska komma ihåg att SMS-låneföretagen inte har några superhem-liga uppgifter om den som vill låna pengar. De hämtar sina kontrollfrågor från samma offentliga register som bedragarna använder.

I vissa fall krävs att man skickar in kopia på sitt körkort för att få SMS-lån, men det är en smal sak att Photoshoppa in nya personuppgifter på ett körkort, menar Lars Minnedal.

Hårdare rutinerPolisen menar att många av identitetsstölder-na är möjliga på grund av dåliga rutiner hos banker, i butiker och där man lämnar ut varor som köpts på nätet. Polisen föreslår bland annat att näringsidkare som i rent vinstsyfte struntar i att kontrollera identiteten hos dem som handlar på kredit eller tar krediter (till exempel SMS-lån) ska kunna dömas att betala skadestånd och att utlämningsställen som gör bristfällig id-kontroll vid utlämning av postordergods ska kunna bli ersättnings-skyldiga vid bedrägeri.

I rutan här bredvid kan du läsa några tips från polisens bedrägeriutredare om hur du kan minska riskerna att få din identitet stulen. Lars Minnedal ger sin egen sammanfattning:

– I grunden måste folk bli mer misstänk-samma och sluta vara så godtrogna.

781022-23212344 4567 8921 3400

Så här skyddar du dig mot identitetsstöld � Var försiktig med att

lämna ut personlig in-

formation, gör det en-

dast till företag och in-

stitutioner du litar på.

� Lämna inte ifrån dig

kontokort så att andra

kan läsa de synliga upp-

gifterna. Det går tyvärr

utmärkt att handla på

Internet med dessa.

� Släng inte papper med per-

sonlig information (kontout-

drag och slippar med mera) i

soporna där det finns risk att

andra kan få tag på dem.

� Se till att obehöriga inte kan

komma åt din post (man kan

till exempel beställa kreditkort

i ditt namn och snappa upp

det, liksom koden).

� Man kan spärra sitt person-

nummer för kreditköp hos de

stora kreditupplysningsföreta-

gen. Vanligen krävs att polis-

anmälan gjorts så det går ty-

värr inte att göra detta i fö-

rebyggande syfte, endast när

man redan är drabbad.

Källa: Facebook-sidan för Stockholmspo-

lisens bedrägerirotlar (www.facebook.

com/BedragerirotelnStockholm)

FAKTA

” Sajter som Birthday.se är rena smörgåsbord av personuppgifter

8 Integritet i fokus nr 2-2012 – Datainspektionen

Testa dina kunskaper

Får arbetsgivaren läsa din privata e-post?

1. Har jag som anställd rätt att få veta vilka

person uppgifter som arbetsgivaren lagrar

om mig?

Nej, några sådana rättigheter finns inte i svensk

lag. Däremot kan fackförbund och arbetsgivare

göra överenskommelser som gör det möjligt.

Ja, om arbetstagaren begär ett så kallat

registerutdrag är arbetsgivaren skyldig att

lämna skriftlig information till den anställde om

vilka person uppgifter som behandlas och vad

uppgifterna används till.

Ja, men arbetsgivaren har rätt att undanhålla

vissa uppgifter om den anställde, som

exempelvis omdömen.2. Gäller personuppgiftslagen uppgifter

som är nedskrivna på papper?

Ja, personuppgiftslagen gäller alla

personuppgifter, både på papper och i

datorer.

Ja, personuppgiftslagen gäller även för

uppgifter på papper men bara om det går

att söka bland uppgifterna i exempelvis

ett kartotek.

Nej, personuppgiftslagen gäller bara

digitala uppgifter. 3. Enligt personuppgiftslagen måste det alltid

finnas en ansvarig för de personuppgifter

som behandlas. Vem kan denne vara?

Det kan endast vara en juridisk person, till

exempel ett aktiebolag eller förening.

Det måste alltid vara en fysisk person.

Företag och liknande ska utnämna en person.

Det är normalt en juridisk person, men kan

i undantagsfall vara en fysisk person om det

handlar om ett enmansföretag.

1

2

3

Har jag rätt att få veta vad arbetsgivaren

registrerar för uppgifter om mig? Får ar-

betsgivaren läsa min e-post? Är det okey

att publicera namn och bild på anställda

på företagets webbplats? Här är tio tuf-

fa frågor om vilka regler som gäller när

personuppgifter hanteras i arbetslivet.

1

1

2

2

3

3

9Integritet i fokus nr 2-2012 – Datainspektionen

Vill du fuska?Alla svar finns på Datainspektio-

nens webbplats, på www.

datainspektionen.se/arbetslivet

4. När ska arbetsgivaren ta bort e-postkontot för

en anställd som slutat?

Kontot ska tas bort inom ”en rimlig tid”, i

normala fall inom en månad efter att man slutat.

Enligt bokföringslagen ska verifikationer sparas i

tre år och samma regler gäller för e-post.

E-postkontot ska tas bort den dag då den

anställde slutar.

5. Får arbetsgivaren ha ett register över

anhöriga till personalen utan att fråga de

anhöriga om lov?

Nej, varje anhörig måste ge sitt

godkännande.

Ja, man får göra det. Men, de anhöriga

måste få information om att deras

uppgifter finns hos arbetsgivaren.

Ja, det är viktigt att arbetsgivaren kan

kontakta anhöriga vid exempelvis en

olycka. Därför behöver man inte fråga de

anhöriga om lov eller informera dessa.

6. I vissa fall kan arbetsgivaren ha fått

de anställdas lov att registrera deras

personuppgifter. Men, kan en anställd ångra

ett sådant samtycke?

Ja, man kan ta tillbaka sitt samtycke skriftligt

eller muntligt.

Ja, den anställde kan ångra sitt samtycke,

men bara genom en skriftlig begäran till

arbetsgivaren.

Nej, ingångna avtal måste enligt lag följas

fram till att anställningen upphör eller till att

de omförhandlas via fackförbundet.

7. Får arbetsgivaren publicera namn,

telefonnummer, e-postadress och liknande

uppgifter om de anställda på företagets

webbplats?

Ja, men endast om fackförbundet gett

sitt ok.

Ja, men enbart om de anställda gett

sitt godkännande.

Ja.

1

2

3

1

2

3

1

2

3

1

2

3

10 Integritet i fokus nr 2-2012 – Datainspektionen

Facit1. Rätt svar: 2. Ja, en anställd kan skriftligen begära att arbetsgivaren ska redovisa vilka personuppgifter som behandlas och vad uppgifter-na används till.2. Rätt svar: 2. Personuppgifts-lagen gäller även för uppgifter på papper, men uppgifterna måste vara strukturerade i exempelvis ett kartotek.3. Rätt svar: 3. Typiskt är den personuppgiftsansvarige en juridisk person, men i undantagsfall kan det vara en fysisk person, om det hand-lar om ett enmansföretag.4. Rätt svar: 1. Kontot ska i norma-

la fall tas bort inom en månad efter att den anställde slutat.5. Rätt svar: 2. Arbetsgivaren får ha sådana uppgifter utan samtycke men behöver ha en rutin för att in-formera de anhöriga, till exempel genom att den anställde får en in-formationslapp att ta hem.6. Rätt svar: 1. Arbetstagaren har rätt att ta tillbaka sitt samtycke. Det kan göras skriftligt eller muntligt. Det är arbetstagaren som har be-visbördan för att en återkallelse har gjorts och när det gjordes.7. Rätt svar: 3. Ja, men när det gäl-ler att publicera foto på de anställda

bör dock arbetsgivaren först fråga om tillåtelse. I vissa fall kan dock ar-betsgivaren ha tungt vägande skäl för att publicera bilder på anställda, till exempel på personer som har kundorienterade arbetsuppgifter. I så fall behöver arbetsgivaren inte få godkännande från de anställda.8. Rätt svar: 3. Uppgifter får samlas in kontinuerligt, men arbetsgivaren får inte använda uppgifterna för att övervaka de anställda i realtid och för att exempelvis kontrollera hur lång rast de tar.9. Rätt svar: 1. Finns det allvarlig misstanke om illojalt eller brottsligt

beteende så får arbetsgivaren ta del av de privata mejl som den anställ-de skickar från sitt jobbmejlkonto.10. Rätt svar: 2. I normala fall får GPS-spårning av fordon enbart an-vändas för logistik och liknande. I undantagsfall, om arbetsgivaren misstänker att den anställde allvar-ligt missbrukar arbetsgivarens för-troende, får dock arbetsgivaren an-vända spårningen för att kontrolle-ra hur länge någon arbetar eller tar rast.

8. Finns det några gränser för hur de anställda

får övervakas om företaget använder

prestationsbaserad lön?

Nej, alla former av individuell

prestationsmätning är tillåten.

Nej, men företaget måste först få respektive

anställds godkännande.

Ja, uppgifter får samlas in kontinuerligt, men

arbetsgivaren får inte använda uppgifterna för

att övervaka de anställda i realtid och för att

exempelvis kontrollera hur lång rast de tar.

9. Får arbetsgivaren kontrollera vad den

anställde skickar för privata mejl från sitt

e-postkonto på jobbet?

Ja, men bara vid allvarlig misstanke om

illojalt eller brottsligt beteende.

Ja, men bara om den anställde gett sitt

godkännande först.

Nej, arbetsgivaren får inte ta del av

privat e-post.

10. Får en arbetsgivare använda GPS-spårning för att

kontrollera hur länge en viss person arbetar, och tar rast?

Ja, men samtliga anställda måste ha gett sitt godkännande

till sådana kontroller.

Ja, men bara om arbetsgivaren misstänker att den

anställde allvarligt missbrukar arbetsgivarens förtroende.

Nej, GPS-spårning får enbart användas för exempelvis

logistik, fördelning av resurser och underlag för

fakturering, och får aldrig användas för att kontrollera om

någon tar för långa raster.

Läs mer om arbetslivet

Datainspektionens nya broschyr

”Personuppgifter i arbetslivet” klargör

vilka regler som gäller för hur arbets-

givare får hantera personuppgifter.

Den innehåller en rad exempel från

verkliga livet. Skriften

kan hämtas kostnads-

fritt som pdf på www.

datainspektionen.se/

arbetslivet eller bestäl-

las som trycksak och

kostar då 53 kronor.

1

2

3 1

2

3

1

2

3

11Integritet i fokus nr 2-2012 – Datainspektionen

Granskning av kommuners surfplattor¥ Det blir allt vanligare att kommu-

nala nämnder digitaliserar sin pappers-

hantering för att komma ifrån stora

mängder pappersutskick, bland annat

inför nämnd- och utskottssammanträ-

den. De digitala handlingarna kan lä-

sas och hanteras via surfplattor som ex-

empelvis Ipad. ”Kommer en surfplatta

i orätta händer kan potentiellt känsli-

ga personuppgifter spridas snabbt och

okontrollerat. Därför är det viktigt att

informationen på surfplattorna är till-

räckligt skyddad”, säger Ingela Alver-

fors som leder det projekt som Data-

inspektionen nu dragit igång.

Myndigheten ska undersöka social-

nämnder i Skellefteå, Järfälla, Värna-

mo, Staffanstorp, Halmstad, Göteborg

och Stockholm. Bland frågorna som

ska besvaras finns: kan de förtroende-

valda använda egna, privat inköpta,

surfplattor, har nämnden infört förbud

eller begränsningar för privat använd-

ning eller hinder mot att ladda ner el-

ler installera vissa appar, finns det nå-

gon central spärrfunktion eller distans-

radering, innehåller surfplattorna se-

kretessbelagd information eller doku-

ment som innehåller integritetskänsli-

ga personuppgifter.

Polisen lagrar för mycket från mobiltelefoner¥ Datainspektionen har granskat hur

Länskriminalpolisen i Stockholm regist-

rerar uppgifter som kommer från mo-

biltelefoner som tagits i beslag i för-

undersökningar. De registrerade upp-

gifterna kommer från telefoner som

tillhör personer som är misstänkta för

brott som kan ge två års fängelse. I re-

gistret finns all information från den

”tömda” telefonen, vilket kan vara sms,

samtalsloggar, adressbok med mera.

Enligt det regelverk som polisen ska

följa för särskilda undersökningar får

enbart uppgifter som rör misstankar

om allvarlig brottslig verksamhet lag-

ras i registret. Innan en uppgift sparas i

registret måste polisen pröva om upp-

giften är relevant för undersökningen.

Datainspektionen kan dock konstatera

att 98 procent av uppgifterna i telefon-

registret inte har prövats mot lagens

krav, vare sig då de registrerades eller

då registret gallras. ”Det är uppenbart

att polisen genom detta förfarande re-

gistrerar personuppgifter utan att det

finns fog för det”, skriver Datainspek-

tionen i beslutet från sin granskning.

Dåliga rutiner för gallring i polisens register¥ Datainspektionen har granskat

hur polismyndigheterna i Dalarna och

Västerbottens län hanterar person-

uppgifter i sin verksamhet. Vid inspek-

tionerna upptäcktes att ett antal regis-

NyTT FRåN DATAINSPeKTIONeN

Datainspektionen polisanmäler Migileaks¥ Datainspektionen har tagit emot

klagomål och på andra sätt blivit upp-

märksammad på sajten Migi leaks

som publicerar domar från migra-

tionsdomstolar. På sajten publiceras i

bloggform inlägg om domar som rör

asylsökande. Inläggen består typiskt

av en kortare skriven text och en länk

till den inskannade domen. I de pu-

blicerade domarna förekommer ingå-

ende beskrivningar av levnadsförhål-

landen med känsliga personuppgifter

om namngivna personer som sökt

asyl i Sverige. I de flesta fall publice-

ras även den asylsökandes person-

nummer och adress. Datainspektion-

en bedömer att publiceringen är krän-

kande i personuppgiftslagens mening

och att domarna borde ha anonymi-

serats genom att ta bort direkt utpe-

kande personuppgifter som exempel-

vis namn. Den ursprungliga Migileaks-

sajten har lagts ner men materialet har

tagits över av en annan sajt. Dessutom

publiceras materialet på ytterligare en

sajt. Datainspektionen polisanmäler

samtliga tre sajter.

12 Integritet i fokus nr 2-2012 – Datainspektionen

ter i polisens underrättelseverksamhet

inte följer gällande lagstiftning. Brister-

na i kriminalunderrättelseverksamhe-

ten har bland annat bestått i att per-

soner registrerats i så kallade särskilda

undersökningar utan att det funnits

en koppling till allvarlig brottslig verk-

samhet, vilket är ett krav för denna typ

av undersökning. Dessutom har polis-

myndigheterna inte haft tillräckliga ru-

tiner när det gäller gallring av person-

uppgifter i underrättelseprojekten.

Försäkringsförmedlare under granskning¥ Enligt lagen måste företag som ar-

betar med försäkringsförmedling do-

kumentera sin verksamhet. Det inne-

bär bland annat att företagen behöver

ta reda på och dokumentera uppgifter

om kundernas bakgrund, ekonomiska

ställning med mera. Bland uppgifterna

som dokumenteras kan finnas känsli-

ga personuppgifter som rör kundernas

hälsa. Datainspektionen har nu dragit

igång ett projekt som ska ta reda på vil-

ka personuppgifter som försäkringsför-

medlare hanterar, varför uppgifterna

samlas in och hur de skyddas. Det som

ska granskas inom ramen för projektet

är försäkringsförmedlare som förmed-

lar personförsäkringar som sjukförsäk-

ringar och livförsäkringar. Granskning-

en beräknas vara slutförd i september.

Bussbolag kameraövervakar personal¥ Datainspektionen har tagit emot

ett klagomål som gör gällande att ett

bussbolag i Varberg kameraövervakar

sin personal. Myndighetens gransk-

ning visar att bolaget har tio övervak-

ningskameror på sin anläggning. Bo-

laget uppger att kameraövervakning-

en är tänkt att användas för att utre-

da skadegörelse eller annat brott eller

om det skulle ske en olycka i exempel-

vis verkstad och tvätthall. Hittills har

bildmaterialet aldrig behövt användas.

Datainspektionen anser att det måste

finnas ett påtagligt behov av kamera-

övervakning och att bussbolaget måste

göra en grundlig analys att så verkligen

är fallet.

Lättare kameraövervaka tunnelbanan¥ En utredning har på uppdrag av re-

geringen tagit fram ett förslag till ny

kameraövervakningslag som ska sam-

la alla bestämmelser om kameraöver-

vakning som idag finns i två olika lagar:

lagen om allmän kameraövervakning

och personuppgiftslagen. Datainspek-

tionen yttrade sig om förslaget un-

der 2010 och har nu yttrat sig över ett

kompletterande underlag. Myndighe-

ten är kritisk till att kameraövervakning

ska kunna införas i parkeringshus utan

tillstånd, däremot delar Datainspek-

tionen utredningens mening att det

ska kunna bli lättare att kameraöverva-

ka i tunnelbanan eftersom människor

ofta kan känna sig mer utsatta där än

på andra platser.

Kritik mot brister i journalsystem¥ Datainspektionen har granskat hur

Karolinska sjukhuset använder så kall-

lad sammanhållen journalföring, vil-

ket innebär att sjukhuset kan utbyta

journaluppgifter med andra vårdgiva-

re. Granskningen har avslöjat ett an-

tal brister i sjukhusets journalsystem

som strider mot reglerna i patientdata-

lagen. En sådan brist är att användaren

redan i utgångsläget får se för mycket

information om patienten. I stället för

att systemet bara indikerar att det finns

journaluppgifter om patienten i fråga

hos andra vårdgivare så listas direkt

vilka vårdgivare som har uppgifter om

patienten. Dessutom visas dessa upp-

gifter innan man fått patientens med-

givande att ta del av uppgifterna.

Datainspektionen är även kritisk till

hur patienten ges möjlighet att sam-

tycka till att journaluppgifterna lämnas

ut. Ger patienten sitt samtycke blir alla

13Integritet i fokus nr 2-2012 – Datainspektionen

uppgifter hos alla vårdgivare som har

uppgifter om patienten tillgängliga,

oavsett om uppgifterna behövs för den

aktuella vårdprocessen. Detta gäller

alla uppgifter som patienten inte själv

aktivt spärrat.

Brist i journalsystem omöjliggör kontroll¥ Datainspektionen har tagit emot

ett klagomål som rör Akademiska sjuk-

huset i Uppsala. Enligt klagomålet är

sjukhusets IT-system utformat på ett

sätt som gör det omöjligt att kontrolle-

ra om enskilda läkare och annan behö-

rig vårdpersonal missbrukar sin möjlig-

het att läsa patientjournaler.

Klagomålet rör en funktion som visar

läkaranteckningar för en vald patient.

Datainspektionens granskning visar att

när en läkare öppnar funktionen så vi-

sas de 20 senaste anteckningarna. I sys-

temets logg, som ska användas för att

upptäcka obehörig åtkomst av patient-

journaler, registreras att läkaren ifråga

tittat på samtliga 20 anteckningar vid

exakt samma tidpunkt. Det går alltså

inte att se vilken anteckning som läka-

ren faktiskt läste. ”En så bristfällig logg-

ning gör det i praktiken omöjligt att

kontrollera obehörig åtkomst, men gör

även att personal på felaktiga grunder

kan pekas ut som att ha tagit del av för

mycket patientuppgifter”, säger Maria

Bergdahl som lett Datainspektionens

granskning.

Segdraget ärende om kameraövervakning avgjort¥ 2008 beslutade Datainspektion-

en att Bromma gymnasium och Ten-

sta gymnasium måste upphöra med

kameraövervakning inomhus under

dagtid. De två gymnasierna överkla-

gade Datainspektionens beslut till läns-

rätten som avslog överklagandena, och

till kammarrätten som även den avslog

överklagandena med undantag för ett

par övervakningskameror i den ena

skolan. Skolorna överklagade därefter

till Högsta förvaltningsdomstolen, som

är den högsta allmänna förvaltnings-

domstolen i Sverige. I slutet av mars i

år meddelade domstolen att den går

på Datainspektionens linje och avslog

överklagandena. ”I likhet med under-

instanserna finner Högsta förvaltnings-

domstolen att kameraövervakning av

lektionssalar, korridorer, bibliotek, up-

pehållsrum och liknande i en skola un-

der skoltid generellt sett måste betrak-

tas som ett intrång i de registrerades

integritet”, skriver Högsta förvaltnings-

domstolen i sina två domar.

Oavsett om du arbetar inom offent-

lig, privat eller ideell verksamhet har

du nytta av kunskaper om personupp-

giftslagen. Anmäl dig till en av Datain-

spektionens kurser så får du utbildning

av experter inom området.

Gå på höstkurs hos Datainspektionen

Grundkurs i

personuppgiftslagen

Ett måste för alla som behöver

kunskap om personuppgiftslagen.

Grundkurs för

personuppgiftsombud

En tvådagars grundkurs där du får

lära dig vad det innebär att vara

personuppgiftsombud.

25–26 september och

13–14 november i Stockholm

Skolkonferens

6 november i Stockholm

En konferens om elevers integritet

i skolan och på Internet. På konfe-

rensen tas frågor upp som rör ele-

vadministration, kameraövervak-

ning och Internetpublicering.

Råd och regler för inkasso

och kreditupplysning

Den här kursen vänder sig till dig

som arbetar inom verksamheter

som rör inkasso och kreditupplys-

ning.

25 oktober 2012 i Stockholm

och 8 november 2012 i Göteborg Anmäl dig på www.datainspektionen.se/utbildning

Tips: Datainspektionen har tagit

fram en checklista som underlättar

för skolor att avgöra om kamera-

övervakningen följer eller strider

mot personuppgiftslagen. Check-

listan kan hämtas kostnadsfritt på

myndighetens webbplats.

14 Integritet i fokus nr 2-2012 – Datainspektionen

hallå där...

Det korta svaret: för att det är just

(bluff)fakturor och inte inkassokrav.

En överväldigande majoritet av alla

bluffakturor är just fakturor eller be-

talningspåminnelser, och då kan Data-

inspektionen inte göra något. Vår roll

är att se till att de bolag som bedriver

inkassoverksamhet följer inkassolagen.

Bluffakturor och betalningspåmin-

nelser är dock inte inkassokrav, och be-

rörs därför inte av reglerna i inkassola-

gen.

För en vanlig företagare kan det dock

säkert vara svårt att avgöra vad som är

en betalningspåminnelse och vad som

är ett inkassokrav. Ett inkassokrav inne-

håller alltid någon form av legal på-

tryckning. Normalt hotar borgenären

med rättsliga eller exekutiva åtgärder,

till exempel att lämna in en ansökan

om betalningsföreläggande till Krono-

fogdemyndigheten. Det kan också vara

hot om att till exempel ett kreditavtal

kan komma att sägas upp eller att ett

telefonabonnemang kommer att dras

in.

Vissa blufföretag skickar fakturor och

betalningspåminnelser som är mycket

lika inkassokrav. Syftet är att skrämma

mottagaren av bluffakturan, och tyvärr

lyckas det ofta.

Vad menas med en bluffaktura?

Uttrycket bluffaktura används i flera oli-

ka sammanhang. Det kan vara helt på-

hittade fakturor från företag man ald-

rig haft kontakt med, fakturor för va-

ror som man beställt och sedan aldrig

fått eller fakturor med orimliga villkor

eller villkor som man inte blivit upplyst

om. Ibland används även uttrycket när

man krävs på ersättning för en vara el-

ler tjänst som man inte är nöjd med.

Hallå där, Håkan Meurling......inkassoexpert på Datainspektionen.

varför kan ni inte göra något åt bluffakturorna?

de kundförhållanden finns egentligen

ingen anledning att kontrollera varje

ärende som kommer in. Nya uppdrags-

givare bör dock kontrolleras mer nog-

grant, liksom om uppdragsgivaren tidi-

gare har varit slarvig.

Om den som har fått ett inkassokrav,

gäldenären, invänder och hävdar att en

fordran saknar laglig grund, så är god

inkassosed att inkassobolaget inte vid-

tar några inkassoåtgärder utan snarast

möjligt utreder om invändningen har

fog för sig. Om uppdragsgivarens ford-

ringar ofta visar sig sakna grund bör in-

kassobolaget avsluta samarbetet med

den uppdragsgivaren.

Vad ska man göra om man fått en

bluffaktura?

Det beror på typen av bluffaktura. Har

man fått en helt påhittad faktura från

något företag som man aldrig har haft

kontakt med ska man kontakta polisen.

Om du har fått en faktura som är fel-

aktig ska du kontakta företaget skriftli-

gen och tillbakavisa kravet. Beskriv på

vilket sätt du anser att kravet är felak-

tigt. Tänk på att spara kopior av brev,

mejl eller fax du skickat. Går det inte

att komma överens med företaget som

skickade fakturan återstår för en dom-

stol att avgöra tvisten.

En oroande trend tycks vara att bluff-

företagen stämmer gäldenären i tings-

rätt och där erbjuder att göra upp i

godo, till exempel genom att gäldenä-

ren ”bara” behöver betala halva faktu-

rabeloppet. Om man accepterar erbju-

dandet kan det på sikt leda till att fler

drabbas. Mitt råd är därför att aldrig

gå med på en förlikning för något som

man inte beställt.

Vilken är då Datainspektionens roll i

sammanhanget?

Datainspektionen ska se till att inkasso-

lagen följs av de som bedriver inkasso.

Företag som arbetar med inkasso ska i

sin tur se till att följa ”god inkassosed”.

Vår erfarenhet är att de etablerade in-

kassobolagen i allt väsentligt följer god

inkassosed. Det händer dock att före-

tag som skickar bluffakturor anlitar in-

kassobolag för att driva in sina ford-

ringar. Inkassobolaget får inte skicka

ett inkassokrav om det finns skäl att tro

att fordran är obefogad. Därför har in-

kassobolaget en skyldighet att kontrol-

lera grunden för fordran. Vid inarbeta-

Har man fått en helt påhittad fak-

tura från något företag som man

aldrig har haft kontakt med ska

man kontakta polisen, säger Håkan

Meurling.

Håkan Meurling

yrke: Avdelningsdirektör och ex-

pert på inkassolagen

På myndigheten: sedan 1990

Senaste sedda film: A Royal Affair

Bok jag läser: Himmel över Lon-

don av Håkan Nesser

FAKTA

15Integritet i fokus nr 2-2012 – Datainspektionen

” Sättet vi samarbetar med våra systermyndigheter kan komma att förändras radikalt

Göran Gräslund Generaldirektör

Datainspektionen

Helt nyligen besökte jag Oslo och träffade mina chefskollegor på

dataskyddsmyndigheterna i de övriga nordiska länderna. Vi brukar ses på ett sådant möte en gång per år.

Vårt samarbete i konkreta ärenden är i princip obefintligt men det kan komma att förändras radikalt inom en relativt snar framtid.

EU-kommissionen har lagt fram ett förslag till ny lagstiftning som ska ersätta dagens dataskyddslagstiftning med en förordning. Idag har respektive EU-land sin egen version eller ”dialekt” av dataskyddslagstiftning. Med en för-ordning blir det en enda, övergripande lag som ersätter de nationella lagarna.

Det här påverkar på flera sätt hur vi och övriga dataskyddsmyndigheter inom EU arbetar, och framför allt sam-arbetar. Om Datainspektionen granskar ett företag som även har verksamhet i Danmark, så ska vi bjuda in våra danska kollegor att delta i gransk-ningen. Detta för att vi i båda länder ska komma fram till samma beslut.

Skulle Datainspektionen granska exempelvis en multinationell bank som har verksamhet i en rad europeiska länder måste vi, enligt kommissionens förslag, anmäla vad vi kommit fram till i vår granskning till en speciell euro-

peisk dataskyddsnämnd som består av medlemmar från samtliga europeiska dataskyddsmyndigheter. Om nämnden väljer att ta upp ärendet måste vi i Sverige invänta nämndens yttrande.

Min egen grova gissning är att Datainspektionen årligen skulle behöva samråda med andra dataskyddsmyn-digheter i 25–30 ärenden. Totalt i EU skulle det kunna handla om så många som 1 500 ärenden per år där samarbete krävs.

Oavsett om den siffran är realistisk eller inte står Europas dataskyddsmyndighe-ter inför en gigantisk utmaning.

I Sverige har Datainspektionen nyligen granskat tre banker som har verksamhet i övriga nordiska länder. På mötet i Oslo beslutade vi att låta data-skyddsmyndigheterna i Norge, Finland och Danmark granska våra utkast till beslut, ungefär på samma sätt som det är tänkt att ske i framtiden om kom-missionens förslag går igenom.

Jag ser det som ett första test av hur pass effektivt vi kan samarbeta.

Vi står inför en gigantisk utmaning

SISTA ORDeT...

Nästa nummer kommer i oktoberDatainspektionen, Box 8114, 104 20 Stockholm