Malmö stad röjde skyddade identiteter – flera gånger
Malmö stad lovade anställda att deras skyddade personuppgifter var säkra i stadens system. Det stämde inte – vilket upptäcktes av en slump. Och när Socionomen granskar en händelse från i mars, upptäckts en helt ny allvarlig incident.
Anställdas skyddade personuppgifter var fritt sökbara för kollegor på Funktionsstödsförvaltningen i Malmö stad.
Enligt uppgift från flera anställda vid funktionsstödsförvaltningen i Malmö stad, låg skyddade personuppgifter fritt sökbara för kollegor som loggade in i systemet MCSS. Händelsen inträffade i mars 2025 och upptäcktes av en slump. En som drabbades var Nadja vars ex-pojkvän dömts till ett flerårigt fängelsestraff för det våld han utsatt henne för.
Den här artikeln är låst
Klicka på Prenumerera för att läsa mer om våra erbjudanden.
Redan prenumerant?
LÄS MER: Nadjas skyddade identitet röjdes av arbetsgivaren: ”Chockad och rädd”
När Socionomen kontaktar Malmö stad för att få händelsen bekräftad hänvisar funktionsstödsförvaltningen först oss till Jessica Hülse, enhetschef för IT och digitalisering i Malmö stad. Vi blir lovade ett skriftligt svar men när svaret kommer nämns inte incidenten. I stället kan vi bland annat läsa att Malmö stad har fungerande rutiner:
”Avseende anställda med skyddade personuppgifter har Malmö stad tekniska system på plats som automatiskt fångar upp och hanterar de sekretessmarkeringar som Skatteverket beslutar om. Systemet säkerställer att endast de personer som absolut behöver tillgång till uppgifterna kan se dem”.
Uppgifterna om att Malmö stad har ett fungerande system som automatiskt fångar upp och hanterar sekretessmarkeringar, går på tvärs med att skyddade personuppgifter legat öppna i systemet MCSS. För att få tydligare svar vänder vi oss åter till funktionsstödsförvaltningen. Vi får återigen ett skriftligt svar att man våren 2025 fick kännedom om ”att enstaka medarbetare upplevde rutinen för medarbetare med skyddade personuppgifter som otydlig. Man skriver också att ”vi tar ansvar för det och har därför påbörjat en översyn av rutinen”.
I svaret bekräftas det att Malmö stad skickat in en personuppgiftsincident till Integritetsskyddsmyndigheten, IMY, en rapport som enligt lag normalt ska skickas inom 72 timmar från att incidenten upptäcks. Men en sak sticker ut, rapporten skickades den 5 september. Tre dagar efter vi ställt frågan om en rapport överhuvudtaget finns och ett halvår efter att Nadjas och andras skyddade personuppgifter röjts.
Av rapporten bekräftas att ett ”obehörigt röjande” skett. ”Vi har upptäckt att alla medabetarkonton är synliga för alla medarbetare inom organisationen. Detta gäller även de med sekretessmarkering utfärdat av Skatteverket”. Det hela förklaras av ”brist i organisatoriska rutiner eller processer: Systematiska fel”.
Incidenten uppges utgöra en risk för skada på den enskilde med sekretessmarkering, en incident vars allvar bedöms som ”betydande”. Antalet drabbades uppskattas till mellan 11 och 100 personer, en uppskattning mellan tummen och pekfingret – utan vetskap om det faktiska antalet.
På frågan varför rapporten skickades till myndigheten så sent, ges ett överraskande svar: Incidenten är ny och upptäcktes först efter vi ställt frågor. Skyddade identiteter har alltså röjts igen, eller fortsatt att röjas, i samma system på funktionsstödsförvaltningen ett halvår senare.
– Det är samma typ av händelse, i systemen har det visat sig att de som loggar in kan se de här personuppgifterna. De ligger där öppet och fritt för alla anställda i MCSS, säger Kaj Svensson kommunikatör på funktionsstödsförvaltningen när vi ringer upp.
Kaj förklarar att förvaltningen i den första händelsen valde att inte rapportera till Integritetsmyndigheten, trots att den bedömdes som allvarlig.
– Men när det sen hände igen, enligt min förståelse, så inser man att det här kanske är mer omfattande. Det kanske finns en systematik om det nu händer en gång till och då anmäldes det skyndsamt, säger Kaj Svensson.
Men sen tar det stopp i vår dialog med Malmö stad. De avböjer att lämna fler kommentarer med hänvisning till dess säkerhetsarbete. Frågan hur många med skyddad identitet som röjts vid de båda incidenterna, lämnas obesvarad. Inte heller får vi veta om uppgifterna legat öppet sökbara för obehöriga hela tiden mellan mars och september, eller om det handlar om två helt enskilda incidenter. Varför den senaste upptäcktes först efter att vi ställt frågor är också höljt i dunkel, liksom eventuella konsekvenser för de som drabbats.
Efter publiceringen av denna artikel framkommer det att personuppgiftsincident trots allt lämnades in till IMY i våras, på tvärs med uppgifterna Malmö stad tidigare lämnat. I ett mailsvar skriver Nathalie Pålsson vid förvaltningen att: ”Den anmälan som gjordes i mars handlar om upptäckten i MCSS. Den anmälan som gjordes senare var efter upptäckt om brister i systematiken.”
