Efter GDPR: Sekretess på diarienummer hos DI
När P4 Kronoberg begärde ut diarienumret på en anmälan till Datainspektionen sade myndigheten nej och ville inte ens bekräfta om de fått in en anmälan. ”En konsekvens av GDPR”, enligt DI.
I slutet av augusti rapporterade Sveriges Radio P4 Kronoberg att personuppgifter tillhörande 413 sommarjobbande ungdomar i Växjö kommun hade läckt ut på nätet. När ungdomarna registrerade sig i kommunens system Feriebanken blev deras namn, personnummer, epost, adress och telefonnummer sökbara på nätet. Kommunen upptäckte läckan och gjorde en anmälan till Datainspektionen.
Men när reportrar på P4 Kronoberg begärde ut diarienumret på anmälan från DI för att kunna följa ärendet, fick de blankt nej. Diarienumret var belagt med sekretess.
– De ville inte ens bekräfta att de hade fått in en anmälan, berättar Lena Pettersson, reporter på P4 Kronoberg.
Efter några samtal och mejl med Datainspektionen framkom att sekretessen bara kunde hävas om ärendet var ”allmänt känt” eller innehöll ”harmlösa uppgifter”. Eftersom P4 Kronoberg rapporterat om händelsen konstaterade DI sedermera att ärendet var allmänt känt, och lämnade ut diarienumret.
– Det löste sig till slut, men vi undrar ju om det verkligen kan vara korrekt att belägga ett diarienummer med sekretess. Numret innehåller ju ingen känslig information, säger Lena Pettersson.
Att diarienummer kan beläggas med sekretess om innehållet i handlingen är känsligt är en effekt av EUs dataskyddsförordningen GDPR som infördes i maj. Det uppger Emina Gaspar-Vrana, jurist på DI. För DIs del handlar det om att skydda företag och myndigheter från att det blir allmänt känt att de har brister i sin it-säkerhet.
– Om man får ut diarienumret och datumet då anmälan inkom så kan man göra en kartläggning av en aktör, vilket röjer att en viss aktör har säkerhetsbrister. Det motverkar syftet med att lämna in en anmälan. Om det är harmlösa uppgifter är det också harmlöst att lämna ut dem. Men är det fortfarande känsligt och innehållet omfattas av sekretess måste man också vara försiktig med att lämna ut övergripande uppgifter, som till exempel diarienummer, ingivarens namn och datumet anmälan gjordes, säger Emina Gaspar-Vrana.
Myndigheten stödjer sig på offentlighets- och sekretesslagen, GDPR samt förarbetena till den kompletterande svenska dataskyddslagstiftningen som kom när GDPR trädde i kraft.
Gäller detta fler myndigheter än DI, att om det finns känsliga uppgifter i en handling så kan diarienumret omfattas av sekretess?
– Det kan det finnas. Lagparagrafen gäller inte bara Datainspektionen utan kan påverka till exempel myndigheter inom rättsväsendet.
Datainspektionen gick redan förra året ut med en rekommendation till Polisen att lägga sekretess på de så kallade k-numren, som är de diarienummer som följer med polisanmälningar genom rättsväsendet.
