Du måste aktivera javascript för att sverigesradio.se ska fungera korrekt och för att kunna lyssna på ljud. Har du problem med vår sajt så finns hjälp på https://kundo.se/org/sverigesradio/
Sverige

Kraftfulla reaktioner mot rikspolischefen

Publicerat onsdag 6 september 2017 kl 08.30
Tobé (M): Om detta stämmer är det ytterst allvarligt
(1:29 min)
Dator och skärmar och man i kostym.
Foto: TT

Reaktionerna är starka efter P4 Stockholms och Ekots avslöjande om rikspolischefen Dan Eliasson i går. Då kunde vi avslöja hur Eliasson fattat beslut om att ge ett privat företag åtkomst till hemlig och känslig information från polisens personal- och lönesystem, på ett sätt som bryter mot säkerhetsskyddsförordningen.

– Om detta stämmer är det ytterst allvarligt. Det här handlar om känsliga uppgifter om poliser och deras familjer och det här känns som ytterligare ett exempel på hur regeringens myndigheter och regeringen hanterar känsliga uppgifter, säger Tomas Tobé (M), som är justitieutskottes ordförande.

– Det är uppgifter om poliser och deras familjer, som skulle kunna utnyttjas av kriminella grupperingar för att komma åt polisen om de kommer på drift säger Liberalernas partiledare Jan Björklund.

Liberalledaren tycker också rikspolischefen måste träda fram och redogöra för vad som har hänt. 

– Man får inte bryta mot lagen. Om någon ska följa den så är det rikspolischefen.

– Det är självklart mycket allvarligt. En svensk polis förtjänar mycket bättre. Man förtjänar framförallt fler kollegor, högre lön men självklart också en ledning som inte riskerar att enskilda polisers personuppgifter och namn på anhöriga hamnar hos personer som absolut inte borde ha uppgifterna. Dan Eliasson har gjort sig förtjänt av kritik tidigare och detta förbättrar inte situationen, säger Kristdemokraternas partiledare Ebba Busch Thor till Ekot. 

– Stämmer de här uppgifterna är det oerhört allvarligt. Vi kan inte ha chefer för polisen som bryter mot lagar och regler. Och vi måste skydda vår polis, säger Sjöstedt, säger Vänsterpartiets partiledare Jonas Sjöstedt. 

Polisens personal-och lönesystem, Palasso, beskrivs som hjärtat i polisens verksamhet. Den som har tillgång till systemet får en unik inblick i hur polisen arbetar.

Förutom namn, personnummer och löner på alla anställda finns där också uppgifter om närmaste anhöriga och till och med barn. Man kan se vart enskilda poliser rest, olika meriter och scheman.

Personal- och lönesystemet har funnits hos polisen sedan slutet på 1990-talet. Eftersom det innehåller hemliga uppgifter med bäring på rikets säkerhet, sköts driften internt i särskilda lokaler.

Men våren 2015 stod det klart för polisen att den inte längre klarade av att sköta personal- och lönehanteringen själv. Myndigheten behövde hjälp av ett privat företag, det kanadensiska CGI, som äger Palasso. Annars riskerade hela löneproduktionen att haverera.

Lösningen var att ge CGI åtkomst till polisens lönesystem från företagets egna lokaler utanför polisen.

Eftersom det rör sig om hemliga uppgifter som har bäring på rikets säkerhet måste informationen, mellan polisen och företaget, krypteras enligt ett system godkänt av Försvarsmakten. Detta framgår tydligt i Säkerhetsskyddsförordningen.

Men för att spara pengar och tid så beslutade rikspolischefen Dan Eliasson, våren 2015 att man skulle göra ett undantag från Säkerhetskyddsförordningen – och alltså strunta i försvarets krypteringslösning.

Men något sådant undantag från förordningen har rikspolischefen inte rätt att besluta om, säger Pia Gruvö, chef för IT-säkerhet på Militära underättelse- och säkerhetstjänsten, MUST.

– Nej.

Det är inget som man kan missförstå?

– Nej det är mycket tydligt. 

- Det var ju olyckligt säger jag, helt enkelt.

Hur allvarligt är det?

– Man riskerar då att uppgifterna kan komma någon annan till del.

Hon drar även en parallell till den uppmärksammade it-skandalen på Transportstyrelsen:

– Det bryter ju mot säkerhetsskyddsförordningen, och vad som kan hända där det har vi ju sett nyligen då, säger Pia Gruvö.

Hur menar du?

– Det var ju någon generaldirektör som fick avgå för brott mot Säkerhetsskyddsförordningen.

De enda som kan besluta om att göra avsteg från förordningen är regeringen, enligt Pia Gruvö.

Men något sånt formellt beslut har inte fattats av regeringen, hävdar regeringskansliet när Ekot och P4 Stockholm kontaktar det.

Rikspolischefen Dan Eliasson vill inte ställa upp på en intervju och svara på frågor kring det här. Men det är tydligt att han tagit beslutet om att frångå säkerhetsskyddsförordningens trots att han varit medveten om riskerna.

I beslutet daterat april 2015 som Dan Eliasson skrivit under framgår bland annat:

”Att inte använda sig av ett krypteringssystem godkänt av Försvarsmakten innebär en risk att signalskyddet inte är tillräckligt säkert för den information som ska kommuniceras...”

Efter att vi i flera veckors tid ställt frågor om beslutet så meddelar polisen på tisdagseftermiddagen att man inte kommer svara på några frågor och att, citat:

”Vi känner oss trygga med att polisens tekniska lösningar är utformade och införda i enlighet med gällande regelverk ”.

Vilken information som skickats mellan polisen och CGI vill polisen inte svara på. Inte heller vilken krypteringslösning man använder i stället för försvarets.

Även företaget CGI avböjer att kommentera, med motiveringen att de inte kan prata om sina kunders verksamhet.

Sent på tisdagskvällen kom polisen med ett nytt uttalande där man hävdar att man inte brutit mot Säkerhetskyddsförordningen:

"Med anledning av dagens medieuppgifter att polisen ska ha hanterat uppgifter i strid mot säkerhetsskyddsförordningen vill Polismyndigheten vara tydlig med att Polismyndigheten har agerat i enlighet med säkerhetsskyddsförordningen. 

Försvarsmaktskrypto måste användas om hemliga uppgifter sänds i datanät utanför polisens kontroll. Om hemliga uppgifter sänds i datanät som polisen har kontroll över behöver försvarsmaktskrypto inte användas utan andra kryptosystem får användas, i enlighet med Säkerhetsskyddsförordningens §13."

Men i Rikspolischefens beslut om att göra ett undantag från förordningen från april 2015 beskrivs ingående att det handlar om att skicka hemlig information utanför Polismyndigheten och att man är mycket medveten om att det enligt förordningen då skulle krävas ett krypteringssystem som är godkänt av försvaret. 

Det är därför det krävs ett beslut om att göra ett undantag från förordningen. 

Det framgår att för att support och förvaltning och polismyndighetens löneproduktion ska säkras  så krävs att CGI, som äger, förvaltar och utvecklar Palasso får åtkomst till polisens Palasso från sina lokaler.

Det sägs i beslutet att informationen som skickas mellan Palasso och den externa leverantören CGI har bäring på rikets säkerhet, och att informationen klassas som hemliga uppgifter.

Och polisen konstaterar i beslutet från 2015 att: 

"Enligt Säkerhetsskyddsförordningen (1996:633) 13 § får hemliga uppgifter endast krypteras med krypteringssystem godkänt av Försvarsmakten."

"Härmed beslutas att utnyttja befintliga tekniker som idag används för kommunikation inom polisen och att ge dispens från att använda en krypteringslösning som är godkänd av försvarsmakten"

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Har du frågor eller förslag gällande våra webbtjänster?

Kontakta gärna Sveriges Radios supportforum där vi besvarar dina frågor vardagar kl. 9-17.

Du hittar dina sparade avsnitt i menyn under "Min lista".