Information till dig som finns registrerad i miljöförvaltningens system för alkohol- och tobakstillstånd

Publicerad 25 oktober 2022

Miljöförvaltningen i Göteborg har gjort en anmälan till integritetsskyddsmyndigheten, IMY, efter att vi upptäckt brister i säkerheten i vårt system för alkohol- och tobakstillstånd. Upptäckten gjordes i samband med att vi byter ut ett gammalt verksamhetssystem.

Den här informationen riktar sig till dig som finns registrerad hos miljöförvaltningen med koppling till verksamheter som har eller har haft tillstånd för att servera alkohol eller sälja tobak och liknande produkter.

Miljöförvaltningen hanterar personuppgifter i samband med ärenden för alkohol- och tobakstillstånd. Vi har konstaterat att en personuppgiftsincident har inträffat. Det betyder att vi har hanterat personuppgifter på ett felaktigt sätt. Vi tar högst allvarligt på frågan och den har högsta prioritet.

Detta har hänt

  • Den 18 oktober 2022 upptäckte vi brister i säkerheten i miljöförvaltningens system för serveringstillstånd, det vill säga tillstånd för restauranger att servera alkohol.
  • En utredning inleddes omgående. I utredningen upptäckte vi den 20 oktober 2022 att det i systemet även finns ett fåtal personer som har skyddade personuppgifter. Till dessa personer skickade vi den 24 oktober särskild information via brev.
  • Uppgifterna har inte varit publicerade på Göteborgs Stads publika webbsidor, men utredningen visade att det trots det finns en möjlighet att personuppgifter i systemet har varit åtkomliga för obehöriga via internet.
  • Vi har nu tagit bort alla möjligheter för obehöriga att ta del av dessa uppgifter.
  • Vi har inga indikationer på att någon obehörig har tagit del av uppgifterna, men vi kan inte utesluta det.
  • Den 21 oktober anmälde vi incidenten till Integritetsskyddsmyndigheten, IMY.
  • I vidare utredning har det även framkommit att detta också berör registrerade kopplat till verksamheter som säljer tobak och liknande produkter.

Beskrivning av personuppgiftsincidenten

  • I verksamhetssystemet finns uppgifter om cirka 31 000 personers namn och personnummer. Uppgifterna är knutna till restauranger och andra verksamheter som har eller har haft serveringstillstånd för alkohol eller till verksamheter som hanterar tobak och liknande produkter. Uppgifterna ur verksamhetssystemet har skickats okrypterat (oskyddat) över internet mellan olika delar i systemet. Vi har inga indikationer på att någon obehörig har tagit del av personuppgifter via sådan överföring, men vi kan inte utesluta det.
  • I systemet fanns en version av ett restaurangregister som innehöll uppgifter om serveringslokaler. Felaktigt fanns där även uppgifter om serveringsansvariga. Detta register har funnits tillgängligt via internet trots att det borde ha varit borttaget. Vi har inga indikationer på att någon obehörig har tagit del av uppgifter via registret på internet, men vi kan inte utesluta det.
  • Den 18 oktober upptäckte vi att polismyndigheten har haft åtkomst till uppgifter om cirka 3 700 personer i restaurangregistret via internet. Miljöförvaltningen har ett delat tillsynsansvar med polismyndigheten som därför normalt är behörig att ta del av uppgifterna i restaurangregistret. Polisen har alltså rätt att se de här uppgifterna, men inte på det sätt som skett.

Hur kunde det hända?

Brister i teknik och administrativa rutiner i kombination med den mänskliga faktorn ligger bakom. Miljöförvaltningen tar fullt ut det tekniska och det administrativa ansvaret för det som hänt.

Hur har miljöförvaltningen hanterat händelsen?

  • Vi har säkerställt att det inte längre är möjligt för obehöriga att nå uppgifterna, genom att stänga av all åtkomst via internet.
  • Vi har anmält personuppgiftsincidenten till vår tillsynsmyndighet Integritetsskyddsmyndigheten (IMY).
  • Vi håller på att utreda händelsen ytterligare och planerar hur vi ska rätta till brister i teknik och administrativa rutiner och höja säkerheten för att förebygga att något liknande inträffar igen.

Du som berörs

Du kan läsa mer om vad en personuppgiftsincident är och om dina rättigheter som registrerad på Integritetsskyddsmyndighetens webbplats www.imy.se Dit kan du även höra av dig med klagomål.

Kontakt

Ange diarienummer MKN 2022-19827 om du har kontakt med miljöförvaltningen med anledning av den inträffade incidenten.

Du som är berörd kan även kontakta miljöförvaltningens dataskyddsombud (ange i din kontakt att det rör miljöförvaltningen): dso@intraservice.goteborg.se

Texten uppdaterad 2022-11-18