Kommunens webbdiarium stängdes omedelbart när säkerhetshålet upptäckts. Arkivfoto.

Hemsidan kan ha läckt känsliga personuppgifter

Kommunens webb kan ha läckt känsliga personuppgifter via en bakväg på hemsidan. Säkerhetshålet upptäcktes vid en kontroll och efter samråd med kommunjuristen stängdes sökfunktionen av med omedelbar verkan.

För snart två veckor sedan försvann länken till webbdiariet från kommunens hemsida. Den ersattes med ett kort meddelande om att diariet var ”ur drift” men att ”vi hoppas kunna åtgärda problemet så snart som möjligt”.

Mer information än så gavs inte.

Den som ville söka bland kommunens allmänna handlingar hänvisades istället till att ringa de registratorer som hanterar stadshusets ärenden.

Nu medger kommunen att bakom nedsläckningen ligger ett säkerhetshål som gör att Kungsbackas hemsida kan ha läckt känsliga personuppgifter via webbdiariet. Det konstaterades efter en kontroll tidigare i höst. Efter samråd med kommunjuristen stängdes funktionen av och nu utreds om det inträffade innebär ett lagbrott.

Ingen sortering

Hur länge säkerhetshålet legat öppet kan ingen svara på i dagsläget.

– Jag gjorde en kontroll som visade att diariet gjorde mer generösa sökningar än vad som var avsett. Men om det alltid varit så eller om detta uppstått i samband med en uppdatering är något som vi undersöker, förklarar Mia Kanflo, systemförvaltare på kommunen med ansvar för de tekniska bitarna kring webbdiaret.

Enligt avtalet med leverantören ska känsliga personuppgifter sorteras undan redan i sökningen. Så har inte alltid skett.

– Det har till exempel funnits sådana personuppgifter inuti handlingar som kommit fram i sökningarna. Egentligen ska sökfunktionen bara ange ärendets namn, förklarar Kanflo.

Hur allvarligt är detta?

– Svårt att svara på, det handlar ju om vad lagen säger när en identitet eller personuppgift ska anses ‘röjd’. Vi vet inte att det har hänt men det har absolut funnits en risk, säger Kanflo.

Innebär detta ett lagbrott?

– Ja, mot PUL, personuppgiftslagen, så klart, men om detta riskerat att bryta mot fler lagar vet inte jag. Men när detta upptäcktes kontaktade jag direkt kommunjuristen och vi var väldigt överens om att stänga ner webbdiariet, säger Mia Kanflo.

Vem har ansvaret?

– Enligt avtalet så ska sökningarna via webben bara publicera det som är lämpligt. Vi har inte haft anledning att betvivla att det varit så förrän nu, säger Mia Kanflo.

Leverantören av webbdiariet har nu fått i uppdrag att ta fram en ny, säkrare variant av webbdiarium. När det kan levereras är i nuläget oklart. De senaste uppgifterna säger att ett nytt system ska vara på plats ”inom ett par veckor”.

Mörkats utåt

Kungsbacka-Posten har förgäves sökt en kommentar från ansvariga i stadshuset om varför säkerhetshålet mörkats. Både ledande politiker och höga tjänstemän uppger att de inte fått annan information än att ”sökfunktionen inte fungerar som den ska”. Hemsidans knapphändiga uppgifter om att webbdiariet var ”ur drift” kompletterades först i torsdags. Då med en enda mening om att ”det kan utgöra en bakväg till att komma åt känsliga personuppgifter”.

Men det inträffade kastar sökarljuset på Kungsbacka kommuns tidigare svårigheter med webb-publicering av ärenden, dokument och allmänna handlingar.

Har läckt förr

2012 stängdes en äldre variant av webbdiarium ner på grund av säkerhetsproblem. Även den gången handlade det om ett tidigare okänt säkerhetshål. En omfattande utredning slog fast att det förekommit obehöriga intrång och att tusentals handlingar kunde ha ändrats eller helt enkelt försvunnit. Vem eller vilka som då varit inne i systemet gick inte att spåra och delar av utredningen hemligstämplades enligt sekretesslagen. Motivet för det var att skydda systemet från en upprepning. Någon polisanmälan gjordes heller inte.

– Nej, vi har dragit slutsatsen att detta inte är något illdåd, detta har gjorts bara för att testa om det går, sade kommunens dåvarande It-strateg Peter Antonsson till Kungsbacka-Posten hösten 2012.

Kungsbacka var en av de första kommunerna i Sverige som införde ett sökbart webbdiarium via hemsidan. Det skedde redan i mitten av 00-talet. Webbdiariet listar bland annat ärenden och handlingar som diarieförs i stadshuset. Systemet har uppdaterats dagligen och invånarna har via nätet kunnat följa vad som händer i kommunhuset.

Mats H Ljungqvist

Relaterade artiklar
Fler artiklar