Säkerhetsexperter: Kan vara sekretessbrott

Kritik mot Bergström: Väldigt olämpligt

Uppdaterad 2021-06-12 | Publicerad 2021-03-16

It-säkerhetsexperter reagerar starkt på Aftonbladets avslöjande om att Richard Bergströms mejlat hemliga vaccinuppgifter till en privat e-post.

De menar att regeringens vaccinsamordnare kan ha gjort sig skyldig till sekretessbrott.

– Det är högst olämpligt och det kan vara ett sekretessbrott. Vi pratar 2021. Det är helt osannolikt på den här nivån, säger Fredrik Möller på Advania.

Aftonbladet har avslöjat hur Richard Bergström regelbundet skickar information från sin e-post på Regeringskansliet till sin privata adress hos Gmail, amerikanska Googles mejltjänst.

Vid upprepade tillfällen har det handlat om sekretessklassade uppgifter.

Bergström förnekade först att han skickat sekretessbelagt material sin privata e-post, men medgav senare att innehållet i vissa av mejlen var ”sekretessbelagda handlingar” och att han kunde ”agerat annorlunda”.

Socialdepartementet har bedömt att flera av mejlen innehåller uppgifter som faller under utrikessekretess.

I sin bedömning skriver departementet bland annat att det kan antas att ”ett röjande av uppgifterna skulle störa Sveriges mellanfolkliga förbindelser eller på annat sätt skada landet”.
Aftonbladet har pratat med flera it-säkerhetsexperter som är kritiska:

– Om du skickar sekretessbelagda handlingar till din privata mejl bedömer jag att uppgiften är röjd. Det är väldigt olämpligt och kan vara ett sekretessbrott, säger Jakob Schlyter, it-säkerhetsexpert på Kirei.

Han fortsätter:

– Handlingen är i Googles kontroll och där är den ju en fröjd för främmande makt. Den har ju lämnat myndighetens kontroll helt och hållet.

Fredrik Möller, it-säkerhetsexpert på Advania, instämmer:
– Det är jättegraverande. Han gör fel från början när han skickar information till en privat mejladress. Att han dessutom skickar den till en Gmail, där informationen går till USA, är än mer anmärkningsvärt. Den informationen får per definition anses som röjd.

Fredrik Möller, it-säkerhetsexpert på Advania

Han fortsätter:

– Det är högst olämpligt och det kan vara ett sekretessbrott. Vi pratar 2021. Det är helt osannolikt på den här nivån. Det här bygger på ren okunskap om vilken risk han utsätter sig själv och andra för.

Simone Fischer-Hübner, professor på Karlstads universitet och en av medlemmarna i MSB:s cybersäkerhetsråd, reagerar också på att det handlar om just amerikanska Google.

–Det finns lagar, till exempel Patriot act, som gör att amerikansk säkerhetstjänst kan få tillgång till information även om Google inte vill lämna ut det, säger hon.

Simone Fischer-Hübner, professor på Karlstads universitet

Hur ser du på tillvägagångssättet att skicka vidare känslig information till sin privata Gmail?

– Man kan inte göra så. Agerandet kan vara både ett sekretessbrott och i strid med GDPR. Det är jättekonstigt. Jag tror det kan handla om okunskap.

Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen.

Anne-Marie Eklund Löwinder är säkerhetschef på Internetstiftelsen.

– Information kan komma på avvägar och utnyttjas, mot honom eller andra. Det är en risk man tar och det är en risk man måste bedöma. Överväger nyttan risken? Många organisationer har ju regler mot den typen av beteende.

Aftonbladet har ställt ett antal frågor till Regeringskansliet - bland annat om det är tillåtet för medarbetare att skicka sekretessbelagda handlingar till en privat Gmail.
Regeringskansliet väljer att inte svara på varje enskild fråga:
”I Regeringskansliets information till medarbetarna framhålls att de arbetsverktyg som tillhandahålls från arbetsgivaren bör vara de som i första hand används i tjänsten. Det kan dock finnas undantagssituationer när man inte har tillgång till tjänstemejl eller av praktiska skäl bedömer att man behöver använda privat e-postadress”, skriver Regeringskansliets presstjänst i en kommentar.