Inga produkter i varukorgen.
Techtidningen avslöjar: PTS röjde visselblåsares identitet
INTEGRITET En visselblåsares identitet spreds till chefer och andra anställda på Post- och telestyrelsen efter en intern felhantering. Trots absolut sekretess bedömde myndigheten risken som obetydlig – och avstod från att anmäla händelsen.
PTS konstaterar själva att rutinerna bröts. Foto: PTS.
Under 2025 tog Post- och telestyrelsen emot en extern visselblåsarrapport som rörde misstänkta missförhållanden på ett företag. Rapporten innehöll uppgifter som kunde identifiera visselblåsaren, bland annat namn och e-postadress.
Enligt PTS kom rapporten in via e-post till myndighetens registratur och diariefördes som ett vanligt mejl. Därefter skickades den vidare internt till den enhet som ansvarar för sakfrågan.
Först i nästa steg uppmärksammade myndigheten att det kunde röra sig om ett visselblåsarärende. Då skickades rapporten vidare till PTS särskilda visselblåsarfunktion. Samtidigt anmäldes hanteringen som en personuppgiftsincident.
”E-post är inte en av PTS utpekade kanaler för visselblåsning”, skriver myndigheten till Techtidningen.
Spridning till obehöriga
Totalt tog nio personer del av rapporten i samband med den felaktiga hanteringen. Två av dem hade behörighet att ta emot och hantera visselblåsarrapporter. Övriga mottagare saknade sådan behörighet.
Bland mottagarna utan behörighet fanns avdelningschef, enhetschefer och en cybersäkerhetsstrateg. Även registraturen tog del av mejlet när rapporten inkom via e-post.
”Det råder absolut sekretess avseende bland annat rapporterade personers identitet (32 kap. 3 b § OSL)”, konstaterar myndigheten i incidentrapporten.
Sekretesskyddet ska göra det svårare att identifiera visselblåsare och minska risken för repressalier. Det är också tänkt att stärka förtroendet för att missförhållanden kan rapporteras.
PTS konstaterar själva att rutinerna bröts.
”De åsidosatta rutinerna kan sammanfattas enligt följande. En visselblåsarrapport som inkommer per e-post ska inte skickas internt per e-post, särskilt inte utan att maskning skett. En visselblåsarrapport ska endast kommuniceras till den särskilda funktionen som är behörig att handlägga sådana ärenden”, skriver myndigheten till Techtidningen.
Bedömningen: ”obetydlig risk”
Trots att uppgifterna spreds till mottagare utan behörighet bedömde PTS att hanteringen innebar en obetydlig risk för visselblåsaren. Myndigheten hänvisar till att samtliga mottagare var anställda och betraktades som betrodda mottagare.
Därför gjordes ingen anmälan till Integritetsskyddsmyndigheten (IMY).
Ingen dokumenterad riskanalys
PTS uppger att det inte finns någon mer utförlig dokumentation av hur riskbedömningen gjordes. Förutom en kort notering i listan över personuppgiftsincidenter från 2025 saknas underlag som visar vilka överväganden som gjorts.
Som åtgärd efter händelsen uppger PTS att mottagare utan behörighet raderade mejlet och bekräftade detta. Berörda chefer och registraturen har också påmints om gällande rutiner.
Fakta
Det här säger reglerna
- Uppgifter som kan identifiera en visselblåsare omfattas av absolut sekretess enligt offentlighets- och sekretesslagen.
- Sekretessen gäller även internt inom en myndighet och begränsar vilka befattningshavare som får ta del av uppgifterna.
- Personuppgiftsincidenter ska anmälas till Integritetsskyddsmyndigheten om de kan innebära risk för den registrerades rättigheter. Myndigheten ska kunna visa hur den bedömningen har gjorts.
