Ska man söka i exempelvis spaningsregistret eller passregistret ska det vara motiverat av en arbetsuppgift. Men på Avdelningen för särskilda utredningar, SU, märker man att det görs en hel del okynnesslagningar i de polisiära systemen – slagningar som kan utgöra dataintrång.
– Vi har ingen forskning som bevisar det men sannolikt är det så att vi har blivit så vana att ta fram information snabbt via Google så det finns en risk att medarbetarna använder de polisiära systemen på samma sätt. Nuförtiden finns ett antal av de här systemen i tjänstetelefonen så tillgängligheten har ökat, säger Per Blomqvist, polismästare på SU.
Per Blomqvist, Avdelningen för särskilda utredningar
Han har varit med och författat en rapport som handlar om hur SU kan bli bättre på att utreda dataintrång. Men i rapporten lyfts också behovet av brottsförebyggande åtgärder från andra delar av Polismyndigheten. Myndighetens utbildning i informationssäkerhet har inte hängt med den snabba tekniska utvecklingen, enligt SU. Medarbetarna behöver få tydliga instruktioner om hur it-systemen får användas så att de blir trygga i var gränserna går.
– En vanlig missuppfattning bland de anställda är att det bara är sekretesskyddad information som man inte får söka i, men det är dataintrång även när du kollar om din egen bil är besiktigad.
En del försvarar sig med att de trodde att en slagning ingick i den serviceskyldighet som myndigheten har mot allmänheten.
– Det kan vara någon närstående som har undrat när deras pass går ut och då tycker medarbetaren att det är inom ramen för serviceskyldigheten att svara på det. Men bara för att man har tillgång till systemen behöver man inte svara på alla frågor.
I rapporten tas också upp att bristande information till medarbetarna gör det svårare för SU att utreda och bevisa att brott har begåtts. Till exempel blir det svårare att styrka uppsåt när den anställde hävdar att den inte visste att den inte fick slå på vissa uppgifter i datorn eller att man trodde att det ingick i arbetsuppgiften.
Per Blomqvist poängterar att otillåtna slagningar inte bara innebär en risk att bli dömd för brott. En annan viktig aspekt på dataintrång sett ur den enskildes perspektiv är risken att förlora sin anställning.
Efter rapporten har SU:s chef Ebba Sverne Arvill fattat beslut om ett antal åtgärder. Bland annat ska SU verka för att det inrättas ett samarbetsforum mellan SU, säkerhetsavdelningen och it-avdelningen inom Polisen. RPC beslutade redan 2019 att ett sådant forum skulle etableras men det har inte skett. En uppgift för samarbetsforumet skulle vara att tydliggöra gränsen mellan lovlig och olovlig användning av it-systemen genom olika styrdokument och utbildningar.
Rapporten från SU tar också upp det faktum att otillåtna slagningar som anställda gör i vissa fall följs av brott mot tystnadsplikten när uppgifterna sprids till obehöriga. Men ofta utreds inte den delen. Det anses inte finnas skäl för omfattande utredningsåtgärder eftersom straffet inte blir högre för att den anställda även döms för att ha brutit tystnadsplikten. En annan effekt av den låga straffskalan vid tystnadspliktsbrott är att man inte kan använda tvångsmedel som exempelvis avlyssning för att styrka brottet, står det i rapporten.
