Pågående prövning av sekretessklassning av incidentrapporter på MSB
Sedan 1 april 2016 måste statliga myndigheter rapportera in IT-incidenter till CERT-SE under Myndigheten för samhällsskydd och beredskap. Dataskydd.net försökte begära ut samtliga IT-incidentrapporter som inkommit under vecka 41, men MSB lämnade bara ut incidentrapporterna med tung maskering. Varje informationsruta är maskerad utom uppgifter om huruvida händelsen är polisanmäld. MSB hänvisar till offentlighets- och sekretesslagens 18 kap. 8 § 3 st, nämligen att säkerhets- och bevakningsåtgärder kan medföra sekretess om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.
Dataskydd.net har överklagat MSB:s sekretessklassning till Kammarrätten i Göteborg.
Syftet med incidentrapporten är att samhället ska få bättre kunskap om incidenter och bättre möjligheter att åtgärda IT-säkerhetsproblem (i alla fall om man får tro MSB:s webbplats). Vi menar att nuvarande kunskaper om incidentrapporter från flertalet jurisdiktioner världen över och alla rimliga incitamentsteorier, inte rimligen kan innebära att offentliggörande av incidentrapporterna kan motverka syftet.
Till exempel är det obligatoriskt att skicka incidentrapporter direkt till berörda privatpersoner i hela 47 amerikanska delstater. Det kommer också bli obligatoriskt att skicka incidentrapporter till privatpersoner i EU under vissa omständigheter så fort dataskyddsförordningen träder i kraft i maj 2018. Det finns alltså anledning att tro att det som bedömts vara en rimlig ansträngning för att ge privatpersoner eget inflytande att bedöma hur mycket förtroende de ska ha för olika myndigheter och företag i andra länder, inte på något mystiskt sätt skulle få särskilt säkerhetsminskande effekter just i Sverige.
Men det viktigaste är att myndigheterna som lämnat in incidentrapporterna konsekvent indikerat att de inte tycker att det finns något sekretessbehov. Om myndigheternas egen bedömning är att sekretessbehovet är mycket lågt eller obefintligt, är det konstigt att MSB tar det på sig själva att istället bedöma att sekretessbehovet är väldigt högt.