Du måste aktivera javascript för att sverigesradio.se ska fungera korrekt och för att kunna lyssna på ljud. Har du problem med vår sajt så finns hjälp på https://kundo.se/org/sverigesradio/

Rikspolischefen frångick säkerhetsregler

Uppdaterat tisdag 5 september 2017 kl 20.50
Publicerat tisdag 5 september 2017 kl 20.01
MUST: Hade inte rätt att åsidosätta reglerna
(3:30 min)
Rikspolischef Dan Eliasson.
1 av 2
Rikspolischef Dan Eliasson. Foto: TT
Sladdar leder in i server
2 av 2
Foto: Jurek Holzer/TT

Rikspolischefen Dan Eliasson har beslutat att ge ett privat företag åtkomst till hemlig och känslig information, det kan Ekot och P4 Stockholm avslöja.

Informationen kommer från Polismyndighetens personal- och lönesystem, på ett sätt som bryter mot Säkerhetsskyddsförordningen.

Och så får det inte gå till, säger Pia Gruvö, chef för IT-säkerhet på Militära underrättelse- och säkerhetstjänsten, MUST.

– Det var ju olyckligt säger jag, helt enkelt.

Hur allvarligt är det?
– Man riskerar då att uppgifterna kan komma någon annan till del.
 
Polisens personal-och lönesystem, Palasso, beskrivs som hjärtat i polisens verksamhet. Den som har tillgång till systemet får en unik inblick i hur polisen arbetar.

Förutom namn, personnummer och löner på alla anställda finns där också uppgifter om närmaste anhöriga och till och med barn. Man kan se vart enskilda poliser rest, olika meriter och scheman.

Personal- och lönesystemet har funnits hos polisen sedan slutet på 1990-talet. Eftersom det innehåller hemliga uppgifter med bäring på rikets säkerhet, sköts driften internt via särskilda lokaler.

Men våren 2015 stod det klart för polisen att den inte längre klarade av att sköta personal- och lönehanteringen själv. Myndigheten behövde hjälp av ett privat företag, det kanadensiska CGI, som äger Palasso. Annars riskerade hela löneproduktionen att haverera.

Lösningen var att ge CGI åtkomst till polisens lönesystem från företagets egna lokaler utanför polisen.

Eftersom det rör sig om hemliga uppgifter som har bäring på rikets säkerhet måste  informationen, mellan polisen och företaget krypteras enligt ett system godkänt av Försvarsmakten. Detta framgår tydligt i Säkerhetsskyddsförordningen.

Hör reporter Alexander Gagliano förklara avslöjandet – ljudklippet finns längre ner i artikeln.

Men för att spara pengar och tid så beslutade rikspolischefen Dan Eliasson, våren 2015 att man skulle göra ett undantag från Säkerhetskyddsförordningen – och alltså strunta i Försvarets krypteringslösning.

Men något sådant undantag från förordningen har rikspolischefen inte rätt att besluta om, säger Pia Gruvö, chef för IT-säkerhet på Militära underrättelse- och säkerhetstjänsten, MUST.

– Nej.

Det är inget som man kan missförstå?
– Nej det är mycket tydligt.

Hon drar även en parallell till den uppmärksammade it-skandalen på Transportstyrelsen:

– Det bryter ju mot säkerhetsskyddsförordning och vad som kan hända där det har vi ju sett nyligen då, säger Pia Gruvö.

Hur menar du?
– Det var ju någon generaldirektör som fick avgå för brott mot Säkerhetsskyddsförordningen.

De enda som kan besluta om att göra avsteg från förordningen är regeringen enligt Pia Gruvö.

Men något sånt formellt beslut har inte fattats av regeringen, hävdar regeringskansliet. när Ekot och P4 Stockholm kontaktar det.

Rikspolischefen Dan Eliasson vill inte ställa upp på en intervju och svara på frågor kring det här. Men det är tydligt att han tagit beslutet om att frångå säkerhetsskyddsförordningens trots att han varit medveten om riskerna.

I beslutet daterat april 2015 som Dan Eliasson skrivit under framgår bland annat:


”Att inte använda sig av ett krypteringssystem godkänt av Försvarsmakten innebär en risk att signalskyddet inte är tillräckligt säkert för den information som ska kommuniceras...”

Efter att vi i flera veckors tid ställt frågor om beslutet så meddelar polisen på tisdagseftermiddagen att man inte kommer svara på några frågor och att, citat:

”Vi känner oss trygga med att polisens tekniska lösningar är utformade och införda i enlighet med gällande regelverk ”.

Vilken information som skickats mellan polisen och CGI vill polisen inte svara på. Inte heller vilken krypteringslösning man använder i stället för Försvarets.

Polisen skriver i ett pressmeddelande på onsdagsmorgonen att Polismyndigheten inte "har agerat på ett sådant sätt att hemliga personuppgifter har läckt ut till obehöriga".

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Har du frågor eller förslag gällande våra webbtjänster?

Kontakta gärna Sveriges Radios supportforum där vi besvarar dina frågor vardagar kl. 9-17.

Du hittar dina sparade avsnitt i menyn under "Min lista".