[fragastaten] Forumportalen hos Medieutredningen skickar personuppgifter öppet i klartext

Fri Feb 26 10:23:29 UTC 2016

Hej Datainspektionen,

Tack för ert svar! Tar med mig lärdomarna till andra fall framöver!

Trevlig helg!
Mattias Axell
Open Knowledge Sverige <http://okfn.se>
Projektledare FrågaStaten <http://fr%C3%A5gastaten.se>
------------------------------------------
Tryckfrihetsförordningen | Offentlighetsprincipen | 1766-2016
FrittOrd250.se <http://frittord250.se> @frittord250
<https://twitter.com/frittord250>
------------------------------------------
On 2016-02-26 11:03, Upplysningstjänsten wrote:
> Hej Mattias,
>
> Tack för ditt meddelande.
>
> Till Datainspektionen kommer det varje dag ett stort antal meddelanden med synpunkter på hur personuppgifter hanteras i olika delar av samhället. Med detta svar vill Datainspektionen allmänt beskriva de regler som gäller för sådan hantering av personuppgifter som ditt meddelande handlar om. Datainspektionen kommer i nuläget inte att göra något mer med anledning av den information som du har lämnat till oss.
>
> Vilka säkerhetsåtgärder som behöver vidtas beror bland annat på hur pass känsliga de behandlade personuppgifterna är. Generellt gäller att ju känsligare personuppgifterna är och ju större riskerna är med behandlingen av personuppgifterna, desto mer omfattande bör säkerhetsåtgärderna vara.
>
> Ska en myndighet hämta in känsliga personuppgifter via ett öppet nätverk, som till exempel internet, måste själva överföringen av uppgifterna vara skyddad med hjälp av kryptering. Detta kan åstadkommas genom att använda så kallade servercertifikat och att kryptera trafiken med hjälp av SSL/TLS. Känsliga personuppgifter är enligt personuppgiftslagens definition sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv.
>
> Datainspektionen har inte granskat den aktuella behandlingen och kan därför inte svara på vilka säkerhetsåtgärder den personuppgiftsansvarige bör vidta. Jag rekommenderar att du i första hand, vilket du även gjort, vänder dig till den personuppgiftsansvarige för att få mer information om behandlingen.
>
> Med vänlig hälsning
>
> Josefine Paulie
> Jurist, Datainspektionen
> www.datainspektionen.se<http://www.datainspektionen.se/>
>
>
>
> Från: Mattias Axell [mailto:mattias at okfn.se]
> Skickat: den 22 februari 2016 13:15
> Till: lukasz.lindell at regeringskansliet.se; fragastaten at lists.okfn.org
> Kopia: DI Registrator
> Ämne: Forumportalen hos Medieutredningen skickar personuppgifter öppet i klartext
>
> Hej Lukas & Medieutredningen,
>
> Jag heter Mattias och här är en fråga till er ansvarige kring säkerheten på Medieutredningens forum.¹
>
> Jag har registrerat mig på er webbportal med forum och jag tycker det är ett väldigt bra initiativ för involvering av fler i ert arbete. När jag klickade mig in på sidan märkte jag dock att det inte var en säker & krypterad anslutning med SSL/HTTPS-certifikat.
>
> Därför kan mina inloggningsupptifter läsas av, av vem som helst med teknisk kompetens - i klartext. Detta ser jag som problematiskt då vissa användare kanske återanvänder lösenord och/eller privat e-post.
>
> Enligt Datainspektionens rekommendationer om säker hantering av personliga data ska alla svenska myndigheter se till att alla personliga uppgifter som skickas till över öppna nät krypteras - vilket det inte gör i detta fall.²
>
> Kan ni vara vänliga att snarast ordna en krypterad anslutning genom säkerhetscertifikat för att undvika att lösenord och andra personuppgifter kommer i fel händer?
>
> Skickar också en kopia till Datainspektionen för tillsyn och hoppas att de kan hjälpa er på bästa sätt med en rekommenderad lösning.
>
> Allt gott,
> Mattias Axell
> Open Knowledge Sverige<http://okfn.se>
> Projektledare FrågaStaten<http://fragastaten.se> @FragaStaten<https://twitter.com/fragastaten>
> ------------------------------------------
> Tryckfrihetsförordningen | Offentlighetsprincipen | 1766-2016
> FrittOrd250.se<http://frittord250.se> @frittord250<https://twitter.com/frittord250>
> ------------------------------------------
>
>
> ¹ http://forum.medieutredningen.se/ - länk till forum för medieutredningen
>
>   för min fråga. Följande länk (säker anslutning) fungerar ej: *https://forum.medieutredningen.se/
>
>
>
> ²
>
> http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/e-forvaltning/it-sakerhet-vid-inforande-av-e-tjanster/
>
> - se "/Skydd av känsliga personuppgifter som skickas via öppna nät/"
>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.okfn.org/pipermail/fragastaten/attachments/20160226/5ed904f7/attachment-0003.html>