Resultat av Dataskyddstillsyn rörande I-valet

Datainspektionen inledde den 19 juni 2019 en granskning av personuppgiftsbehandlingen som är planerad i samband med det stundande I-valet. 

Granskningen visar att det finns omfattande säkerhetsarbete inlett inför I-valet och att Landskapsregeringens syfte är att följa säkerhetsåtgärderna som stadgas i Vallagens tionde kapitel. Vissa risker som I-valet medför har identifierats i samband med granskningen samt brister i dokumentation hos Landskapsregeringen. Fokus i beslutet har varit redogörelse för de risker som gransknigen visat samt bristerna i dokumentationen.

Sammanfattningsvis har granskningen mynnat i en varning till Landskapsregeringen i syfte att upplysa dem om riskerna som identifierats i samband med granskningen och de risker som den pågående konsekvensbedömningen visar som ännu ej är undanröjda. Landskapsregeringen får även en reprimand på grund av brister i dokumentationen, särskilt gällande avsaknaden av personuppgiftsbiträdesavtal mellan leverantören av systemet för I-valet och Landskapsregeringen. 

Landskapsregeringen har påbörjat en behandlingsbeskrivning av behandlingen i I-valet samt en konsekvensbedömning gällande behandlingen. Datainspektionen uppmanar i beslutet Landskapsregeringen att färdigställa dessa innan I-valet går av stapeln.

Det viktigaste granskningen visar är att valets laglighet idag inte kan säkerställas eftersom det saknas tydliga avtal som binder leverantören av I-valssystemet till Landskapsregeringen. Landskapsregeringen är de som enligt lag är personuppgiftsansvariga för behandlingen i I-valet. Av de avtal Datainspektionen har tagit del av framstår ÅDA AB som personuppgiftsansvarig för personuppgiftsbehandlingen i I-valet, det är inte Datainspektionens förståelse att ÅDA AB arrangerar ett parallellt val, varför det istället konstaterats att det saknas dokumentation. Det är möjligt att valet kan genomföras på ett lagenligt vis ändå, men Datainspektionen saknar dokumentation som visar det.

Det system som köpts in är väl beprövat och uppfattas som säkert. Datainspektionen har genom sakkunniga granskat systemet och företaget som tillhandahåller systemet och konstaterat att vissa brister i dokumentationen finns hos företaget. Dessa är risker som Datainspektionen genom beslutet informerar Landskapsregeringen om, och som troligen kan elimineras genom att Landskapsregeringen för en dialog med företaget.

Det författades ett personuppgiftsbiträdesavtal mellan ÅDA AB och Landskapsregeringen den 16 augusti 2019. Datainspektionen blev delgiven detta den 17 september 2019. Avtalet är för allmänt formulerat för att kunna styrka relationen mellan leverantören av systemet för I-val och Landskapsregeringen. Varför det tog över en månad för Datainspektionen att få del av avtalet är oklart. Datainspektionen har inte blivit meddelad vem den ansvarige tjänstemannen hos Landskapsregeringen rörande handläggning av ärendet. Bristen i dokumentationen kan möjligen förklaras genom detta.

Beslutet finns att läsa i sin helhet på Datainspektionens anslagstavla.

 

I tjänsten

Joakim Söderberg
Myndighetschef Datainspektionen

Publicerad 19.9.2019
Uppdaterad 19.9.2019