Om it-skandalen på Transportstyrelsen

Många har hört av sig och efterfrågat mina synpunkter på Transportstyrelsens it-skandal. Dagens Nyheter har i sin granskning gjort ett mycket skickligt och journalistiskt relevant arbete. Skandalen kan diskuteras utifrån följande tre frågeställningar.

1.) Vad är det som har hänt? År 2015 beslöt Transportstyrelsens att outsourca driften av bland annat fordons- och körkortsregistret, som tidigare sköttes av Trafikverkets datacentral i Örebro, till IBM. Outsourcingen innebar att driften togs över av utländska dataexperter som inte säkerhetskontrollerats. Beslutet innebar att Transportstyrelsen medvetet gjorde avsteg från tre lagar: Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen. Säpo rekommenderade att outsourcingen skulle avbrytas, men Transportstyrelsen valde ändå att låta IBM fortsätta arbetet med icke säkerhetskontrollerad personal.

Det tycks klarlagt att Transportstyrelsen genom dess tidigare generaldirektör och styrelse gjort grova felbedömningar i sitt arbete. Oavsett vilka konsekvenserna av outsourcingen till IBM blir för Sverige är det oacceptabelt att en myndighet i sin verksamhet bryter mot lagen, i detta fall dessutom stick i stäv med Säpo:s rekommendationer och med risk att läcka hemliga uppgifter till främmande makt. Tidigare generaldirektören Maria Ågren har också erkänt och fått ett strafföreläggande på 70 dagsböter för grov oaktsamhet.

2.) Vilka blir konsekvenserna för Sverige? Det enkla svaret på denna fråga är: vi vet inte. Det vi vet är att utländsk makt genom de icke säkerhetskontrollerade dataexperterna skulle ha kunna få tillgång till uppgifter som vore av men för rikets säkerhet. Men det är inte klarlagt om så också verkligen blivit fallet. Bland de uppgifter som nämns som skulle ha kunnat läcka ut återfinns personuppgifter om Sveriges hemliga agenter med falska identiteter, som verkar antingen i utlandet eller med infiltration i vänster- respektive högerextrema rörelser i Sverige, Samt känslig information om hamnar, broar, tunnelbana och vägar.

Informationen är mycket knapphändig - både om vilken typ av uppgifter som riskerat att läcka ut samt om den verkligen har läckt ut. De uppgifter som diskuteras är dock av en sådan dignitet att det otvivelaktigt skulle skada Sveriges säkerhet om det visar sig att de kommit främmande makt eller andra relevanta aktörer tillhanda.

3.) Var återfinns det politiska ansvaret? Enligt Säpo:s förhörsprotokoll informerade Transportstyrelsens dåvarande generaldirektör Maria Ågren regeringen om sitt beslut om ”avsteg från lagen” i februari 2016. Därefter dröjde det elva månader tills regeringen beslöt att entlediga generaldirektören från sitt uppdrag. Infrastrukturminister Anna Johansson uppger att uppgifterna inte nådde henne förrän i januari 2017, men att hennes statssekreterare hade fått informationen betydligt tidigare. Inrikesminister Anders Ygeman säger sig ha informerats redan 2016, i samband med att en förundersökningen mot Maria Ågren inleddes. Borde eller kunde Anna Johansson respektive Anders Ygeman ha agerat tidigare? När informerades statsministern? Och vilket ansvar ligger på tidigare regeringar, som möjliggjort att känsliga it-tjänster kan läggas på utländsk entreprenad?

Så vad är det som har hänt, vilka blir konsekvenserna för Sverige och var återfinns det politiska ansvaret? Frågetecknen är många. Självklart måste saken utredas i grunden. Konstitutionsutskottet har en viktig uppgift att fylla i den processen. Jag är inte säker på att konstitutionsutskottets granskning kommer att vara tillräcklig. Det är möjligt att det behövs en större, oberoende granskningskommission för att med expertkompetens och trovärdighet besvara frågorna ovan. Resultaten av konstitutionsutskottets och granskningskommissionens rapporter skulle därefter ligga till grund för utkrävande av politiskt ansvar.