Svenska kraftnät använder kakor (cookies) för att förbättra och anpassa ditt besök på vår webbplats. Genom att använda webbplatsen accepterar du användandet av dessa kakor. Läs mer om kakor och hur du avaktiverar dem

Svenska kraftnät anmäler personuppgiftsincident till Integritetskyddsmyndigheten

Svenska kraftnät har igår den 21 september anmält en personuppgiftsincident till Integritetskyddsmyndigheten, IMY. Anledningen till anmälan är att Svenska kraftnät den 19 september 2022 upptäckte fel i historiska filer från det IT-system som Svenska kraftnät använder för handläggningen av registerkontroller.

Anmälan avser filer som Svenska kraftnät delat med Säkerhetspolisen under perioden den 5 september 2017 till den 18 januari 2018. Felet har medfört att personer vars registerkontroller skulle ha upphört istället har fortsatt varit föremål för löpande registerkontroll. Det rör sig om cirka 3700 personer.

Svenska kraftnät har kontaktat Säkerhetspolisen och meddelat att dessa registerkontroller ska upphöra. Säkerhetspolisen har därefter bekräftat att kontrollerna avslutas från och med natten till idag, torsdag.

Registerkontroller utförs för att skydda svensk elförsörjning och ytterst Sveriges säkerhet. Hur detta går till regleras i säkerhetsskyddslagen. Bolag inom elförsörjningen som bedriver säkerhetskänslig verksamhet ansöker hos Svenska kraftnät om att få registerkontrollera anställda som deltar i den säkerhetskänsliga verksamheten. Svenska kraftnät lämnar i sin tur över bolagens information om vilka personer som ska registerkontrolleras till Säkerhetspolisen. Själva registerkontrollen utförs av Säkerhetspolisen.

Den som blir registerkontrollerad samtycker till att kontrollen görs i samband med att den inleds.

En registerkontroll innebär att Säkerhetspolisen löpande gör en administrativ kontroll, bland annat i misstanke- och belastningsregistret. Om personen förekommer i något av registren kan information om detta komma att lämnas ut till arbetsgivaren. Informationen lämnas då via Svenska kraftnät som tillsynsmyndighet, och först efter att den berörda personen fått möjlighet att yttra sig. Ingen information har lämnats vidare till arbetsgivare kopplat till de felaktiga registerkontroller som nu upptäckts.

Svenska kraftnät fortsätter att utreda incidenten för att klargöra hur felet uppstod och undvika liknande fel i framtiden.

Kan ni vara säkra på att det inte är fler som har drabbats än de 3 700 personerna?

Svenska kraftnät har i nuläget inga indikationer på att felet skulle beröra fler personer än dem som har identifierats.

Vem har kunnat ta del av information som uppkommit under registerkontrollen?

De uppgifter som Svenska kraftnät och Säkerhetspolisen delat sinsemellan har enbart hanterats inom de båda myndigheterna. Hanteringen av uppgifterna styrs av strikta behörighetskontroller både fysiskt och logiskt i IT-systemen vilket innebär att inga personer utanför respektive organisations funktioner som ansvarar för dessa frågor har kunnat ta del av eventuella uppgifter.

Hur många personer berörs?

Det är i storleksordningen cirka 3 700 registerkontroller som borde ha avslutats under den period som felet inträffade.

Vad är skälet till att de inte längre skulle registerkontrolleras?

Det är den enskilda verksamhetsutövaren som bedriver den säkerhetskänsliga verksamheten som beslutar om att avsluta en registerkontroll och som meddelar Svenska kraftnät om detta. Det sker vanligtvis när en anställning eller ett uppdrag upphör. Svenska kraftnät har dock inte kännedom om skälet till att enskilda kontroller avslutas av verksamhetsutövaren.

Hur länge har personer felaktigt blivit registerkontrollerade?

Från som tidigast den 5 september 2017 till och med den 21 september 2022 då Svenska kraftnät meddelade Säkerhetspolisen om att de ska avslutas.

Hur kommer det sig att felet inte upptäcktes tidigare?

Händelsen beror på ett tekniskt fel som fanns i våra IT-system under en kortare period, och som inte varit känt av Svenska kraftnät förrän den här veckan. Så snart vi upptäckte felet har åtgärder för att avsluta kontrollerna genomförts.

Finns det inte kontrollfunktioner som ska fånga upp sådana här saker?

Händelsen visar att Svenska kraftnäts kontrollfunktioner för detta har varit otillräckliga, vilket är mycket olyckligt. Vi kommer att se över våra arbetssätt och rutiner kopplat till hanteringen av registerkontroller för att säkerställa att liknande fel inte uppstår i framtiden.

Hur kan man få reda på om man varit felaktigt kontrollerad?

Den som är orolig för att den varit felaktigt kontrollerad kan vända sig till Svenska kraftnät med frågan, via svkregkontroll@svk.se Under förutsättning att Svenska kraftnät kan fastställa frågeställarens identitet kan myndigheten meddela om denna varit föremål för en felaktig kontroll eller inte.

Hur hanterar ni personerna som inte känt till att de har registerkontrollerats under den här perioden?

Vi har natten mot den 22 september 2022 avslutat alla de kontroller som felaktigt har varit kvar. Den som är orolig för att ha varit felaktigt kontrollerad kan vända sig till Svenska kraftnät med frågan.

Vad får felet för konsekvenser för de personer som felaktigt har registerkontrollerats?

De berörda personerna har påverkats ur ett integritetsperspektiv på så sätt att de löpande har kontrollerats trots att kontrollen skulle ha upphört. Eventuell information som framkommit genom kontrollerna har hanterats av Svenska kraftnät och Säkerhetspolisen. Hanteringen av uppgifterna styrs av strikta behörighetskontroller, och tillgången är begränsad till de personer inom respektive organisation som arbetar med registerkontroller.

Kan det motsatta ha hänt, att de som ska registerkontrollernas inte har blivit det?

Nej, det finns inget skäl att tro att det fel som upptäckts skulle ha lett till att registerkontroller uteblivit eller avslutats för tidigt.