Rapport om Säkerhetsåtgärder i E-valet samt svar från Scytl

Bifogad är den rapport som Datainspektionen lät avpublicera den 9 oktober 2019 rapporten kan nu återpubliceras jämte Scytls (dvs det bolag som upphandlades av Åda Ab att bistå Landskapsregeringen vid E-valet) kommentarer på rapporten.

Syftet med kommentaren från Scytls sida är att reda ut eventuella missförstånd som kan ha uppstått kring deras säkerhetsåtgärder av den rapportör som Datainspektionen anställde. 

Scytls dokument är författat på engelska. Sammanfattningsvis konstateras att vissa upplevda brister i dokumentationen hos Scytl beror på att dokumenten inte delgavs Datainspektionen, vissa frågor som Scytl tidigare inte redogjort för har de genom denna kommentar redogjort för (till exempel om de risker identifierade i deras system i Schweiz skulle förekommit även i ett åländskt val), de har bemött frågan om identitetsstöld som möjliggörs genom att bankID används genom att hänvisa till att poströstning omfattas av samma grundläggande risk. Det bör även påpekas att del av Scytls kommentarer är hänförliga till den första omgången av frågor ställda till Scytl, dvs avsnitt 4 i rapporten skriven av TechLaw Sweden AB (Datainspektionens sakkunniga), vissa av dessa frågeställningar blev utförligt avklarade i samband med rond två av frågeställningar riktade till Scytl. 

Datainspektionen vill sist även erinra om att det är den personuppgiftsansvarige som är ansvarig för att kunna visa att personuppgiftsbehandlingar görs på ett säkert sätt. Datainspektionens rekommendation till Landskapsregeringen var därför som bekant att reda ut potentiella risker med behandlingen innan valet skulle gå av stapeln. Scytl som så har inte varit under granskning, enbart de åtgärder som Landskapsregeringen vidtagit för att få till en säker personuppgiftsbehandling genom sitt personuppgiftsbiträdesavtal med Scytl var under granskning. Att Scytl fick frågorna ställda direkt till sig från Datainspektionen var en praktisk lösning för att spara tid.

I tjänsten
Joakim Söderberg