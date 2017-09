Information från Polisens personal- och lönesystem kan ha hanterats på ett sätt som bryter mot Säkerhetsskyddsförordningen, visar en granskning som Sveriges Radios Ekot gjort.

Våren 2015 beslutade Polismyndigheten att de behövde hjälp av CGI för att sköta driften av lönesystemet Palasso, något som skötts internt sedan slutet av 90-talet. Lösningen blev att ge CGI möjlighet att sköta systemet från sina egna lokaler.

Det är den datahanteringen som nu kritiserats. Polisen har nämligen valt att inte använda en krypteringslösning som godkänts av Försvarsmakten. Något som enligt Ekots granskning kan bryta mot Säkerhetsskyddsförordningen.

Det är Säkerhetsskyddsförordningens 13 paragraf som hamnat i rampljuset efter Sveriges Radios avslöjande. Den lyder så här:

"Myndigheter och andra som förordningen gäller för skall, innan de sänder hemliga uppgifter i ett datanät utanför deras kontroll, förvissa sig om att det för uppgifterna där finns en fullgod informationssäkerhet.

Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten."

Polismyndigheten anser dock att de inte gjort något fel. I ett pressmeddelande skriver myndigheten att "om hemliga uppgifter sänds i datanät som polisen har kontroll över behöver försvarsmaktskrypto inte användas utan andra kryptosystem får användas".

De anser med andra ord att kommunikationen med CGI skett i ett datanät som legat under Polisens kontroll. I sådana fall behövs, enligt förordningen, ingen krypteringslösning som godkänts av Försvarsmakten.

Enligt ett förtydligande från Polisen har inga känsliga uppgifter lämnat myndigheten, och all kommunikation med CGI har skett via säkra kanaler. Till skillnad från it-skandalen på Transportstyrelsen, som många jämfört händelsen med, ska dessutom all personal på konsultbolaget som arbetat med driften av systemet vara säkerhetskontrollerad.