Aktuellt

Det har varit ett fel i den nya beställningssidan i Förmånsportalen som används av stadens administratörer. Felet har funnits mellan 30 oktober 2020 och 14 januari 2021. Det är 20 administratörer som använt sidan under aktuell period och potentiellt kunnat se beställningar gjorda av anställda på andra av stadens förvaltningar och bolag.

Vilka personuppgifter (utöver namn, personnummer, e-postadress omfattas av incidenten), ingår exempelvis löneuppgifter?

Postadress och telefonnummer kan finnas med på beställningssidan som drabbades av felet. Inga andra personuppgifter, inte heller uppgifter om lön eller pension.

Vilka personuppgifter består ”beställningsinformation” av?

Beställningsinformation är inte några personuppgifter utan beskriver vad personen har beställt, till exempel Västtrafikkort eller träningskort.

De flesta som använder beställningsrapporten gör det för att ta ut vilka som beställt Västtrafikkort. Då väljer de aktivt att se Västtrafik-beställningar för den aktuella perioden. Det finns inga känsliga personuppgifter i förmånsportalen. Löne- och pensionsuppgifter är extra skyddsvärda. De förekommer dock aldrig i beställningsrapporten där felet fanns.

Vem har haft potentiell möjlighet att se detta för fler personer än de egentligen borde?

Varje förvaltning och bolag har ett fåtal administratörer med ekonomi- respektive HR-behörighet som kan logga in och ta fram rapporter.

Hur kunde incidenten inträffa - varför gjordes exempelvis ingen behörighetskontroll vid lanseringen av den nya ordersidan?

Buggen upptäcktes ej under testning då Benify utförde tester för rollen som en vanlig administratör, inte för en administratör med enbart behörighet till vissa instanser (Förvaltningar), som i fallet för administratörer på Göteborgs Stad. Benify har utfört kodgranskningar och tester i flera lager, trots detta har buggen missats i testfasen.

Vilka åtgärder har Intraservice vidtagit för att säkerställa att liknande incidenter inte inträffar igen?

Intraservice och leverantören Benify samarbetar för att förenkla arbetet för stadens behöriga administratörer och säkerställa personuppgiftsbehandlingen samtidigt. Benify har vidtagit både kort- och långsiktiga åtgärder för att förhindra att liknande incidenter inträffar igen.

Om Intraservice upptäckte incidenten den 4 januari 2021 – varför fick vi personuppgiftsansvariga information om det inträffade först 5 februari 2021?

Den 4 januari fick vi veta att en administratör skickat e-post till adresser utanför sin egen förvaltning. Vi uppfattade det som ett handhavandefel i Outlook, alltså tolkades inte felet som en personuppgiftsincident.

Den 12 januari hade vi dialog med leverantören som startade en utredning som ledde fram till att buggen upptäcktes den 14 januari, samma dag blev felet åtgärdat.

Den 19 januari fick vi den första incidentrapporten från leverantören Benify. Eftersom vi ville få med mer detaljer i rapporten innan vi ansåg att den var komplett dröjde det lite extra innan den slutliga versionen var klar.

Den 3 februari var incidentrapporten från Benify uppdaterad och komplett.

Det upptäcktes då även att Intraservice saknade kontaktvägar till flera av dessa. Efter att ha sökt upp kontaktvägar till samtliga PUA gick informationen iväg den 5 februari.

Vilka personer har påverkats?

Det är de som gjort beställningar i förmånsportalen mellan 30 oktober och 14 januari som kan ha funnits med på listor som tagits fram av andra förvaltningars administratörer. Er förvaltnings/bolags administratör i förmånsportalen kan ta fram alla beställningar för den perioden och se hur många personer det rör sig om.

Är det bara anställda inom Göteborgs stad som påverkats av detta?

Det är endast anställda i Göteborgs Stad som kunnat förekomma i beställningsrapporterna där felet funnits.

Har de registrerade informerats om incidenten? Om ja, vilket datum? Och om nej, varför inte?

Vi vet inte vilka personer som förekommit i beställningsrapporterna. De genereras av inställningar som administratörerna gör för varje tillfälle. Det vi vet är att administratörer på grund av det här felet kunnat få upp beställningsrapporter med medarbetare från andra förvaltningar och bolag inom staden.