https://www.expressen.se/nyheter/sverige/chefen-stoppade-inte...
"Chefen stoppade inte läcka – trots larm om försvarshemligheter
Text: Mattias Carlsson
Lantmäteriets arkiv fick i maj stängas i panik.
Expressen kan i dag avslöja hur generaldirektör Susanne Ås Sivborg i flera år fick varningar om att försvarshemligheter och skyddade personuppgifter riskerade att läcka ut.
Myndighetens egen säkerhetsskyddschef uppmanade henne redan 2023 att stänga ner – utan resultat.
Försvarshemligheter läckte ut trots år av larm.
Lantmäteriet är en av Sveriges äldsta myndigheter med anor från 1600-talet. I dess arkiv finns detaljerade kartor och uppgifter om varenda fastighet i hela Sverige inklusive militära installationer och skyddsobjekt. Myndighetens slogan är ”Vi känner till varenda plats i Sverige”.
I maj stängde Lantmäteriet utan förvarning ner hela sitt arkiv. Kommersiella kunder, kommuner och myndigheter förlorade tillgången till arkivuppgifter som behövs för samhällsplanering och byggprojekt.
Lantmäteriet uppgav då att de uppmärksammat brister i hantering i utlämnandet av allmänna handlingar, och att sekretessbelagd information funnits tillgänglig i externa digitala tjänster. Även om händelsen fick stora följder för samhället gick den de flesta svenskar obemärkt förbi.
Expressen kan efter en omfattande granskning av incidenten visa att situationen var långt mer allvarlig och omfattande än vad som tidigare varit känt. Det rörde sig inte om ett enskilt misstag utan ett systemfel som pågått i många år.
Lantmäteriets generaldirektör Susanne Ås Sivborgs hantering av frågan har också orsakat interna strider i myndighetsledningen och i kölvattnet av affären har tre av de högsta cheferna på myndigheten – säkerhetsskyddschef, chefsjuristen och beredskapschefen – slutat.
Susanne Ås Sivborg
Generaldirektör för Lantmäteriet
Ålder: 65
Bor: Stockholm
Lön: 134 300 kronor i månaden
Tillträdde som generaldirektör 1 januari 2018, fick i augusti 2023 förlängt förtroende av regeringen fram till december 2026.
Under de snart sju år som Susanne Ås Sivborg styrt myndigheten har hon fått åtskilliga varningar om att det finns både skyddade personuppgifter och försvarshemligheter i ett arkiv som kommersiella bolag har haft egen direktaccess till.
Företagen och deras kunder har kunnat ladda ner arkivakter helt självständigt och utan någon sekretessprövning. Årligen har upp till 100 000 akter laddats ner utan kontroll.
Arkivet, som kallas Arken, har ett system för att flagga fastigheter som omfattas av sekretess, men flaggningen har i vissa fall inte visats beroende på i vilket fält sökningen genomförts. Många hemliga fastigheter har dessutom saknat flaggning.
Arken
• Lantmäteriets arkiv för förrättningsakter, en akt kan innehålla hundratals sidor. Informationen i en akt är ostrukturerad och varje sida är sparad som en bildfil. Kartor, bilder och tekniska beskrivningar ingår ofta.
• De äldsta dokumenten är från myndighetens grundande på 1600-talet.
• Kommersiella kunder har via tjänsterna Akt Direkt och Arkiv Sök haft egen tillgång till arkivet.
Kommersiella kunder har via tjänsterna Akt Direkt och Arkiv Sök haft egen tillgång till Lantmäteriets arkiv.
Äldre försvarsanläggningar där lantmäteri-processen har hanterats av militära lantmätare ska enligt Expressens uppgifter dock finnas i ett separat arkiv och inte ha exponerats. Däremot rör det nyinköpta försvarsfastigheter – ”både över och under mark” och fastigheter som är av stor vikt för totalförsvaret.
En fastighetsägare som berörs är Fortifikationsverket som äger och förvaltar försvarsmaktens fastigheter, vilket Sveriges Radio avslöjade i somras.
– Det Lantmäteriet har meddelat oss är att de haft en säkerhetshotande händelse och att våra skyddsvärden skulle kunna vara berörda. Det är den informationen vi har fått, säger Fortifikationsverkets säkerhetsskyddschef Anders Henningsson.
– Vi har inte fått bekräftat att det skulle vara någon sekretessbelagd eller säkerhetskyddsklassificerad information som är berörd av händelsen.
I Lantmäteriets arkiv finns detaljerade kartor och uppgifter om varenda fastighet i hela Sverige inklusive militära installationer och skyddsobjekt.
Ett exempel på hemlig uppgift som identifierats i arkivet, enligt Expressens uppgifter, är beskrivningar av en installations hemliga funktion vid ett eventuellt krigstillstånd. I dokumenten kring fastigheten stod i klarskrift hur objektet ska användas vid krig och dess strategiska syfte.
Även Lantmäteriets kundcenter har systematiskt lämnat ut dokument till allmänheten helt utan sekretessprövning – i strid med lagen och de interna reglerna.
Säkerhetsskyddslagen
• Lag som reglerar säkerhetsskydd för verksamheter som är av betydelse för Sveriges säkerhet eller som omfattas av internationella säkerhetsskyddsåtaganden. Gäller både offentliga och privata aktörer. Kräver säkerhetsskyddsanalys och skyddsåtgärder bland annat för informationssäkerhet och ska förebygga att säkerhetsskyddsklassificerade uppgifter röjs.
• Tillsynsmyndigheten kan besluta om sanktionsavgifter för överträdelser av lagen, med belopp mellan 25 000 och 50 miljoner kronor (10 miljoner för myndigheter).
Hur mycket sekretesskyddat material som läckt ut är det ingen som vet och går enligt Lantmäteriets utredningar inte att ta reda på – arkivets loggsystem är bristfälligt. Myndigheten har försök att göra skadebedömningar till Säkerhetspolisen men misslyckats ge några svar.
Men en granskning som myndighetens säkerhetsskyddsavdelning gjort av ett antal hemliga akter visar att de har lämnats ut, i vissa fall flera gånger och att hemlig information har läckt ut.
Säkerhetsskyddslagen reglerar säkerhetsskydd för verksamheter som är av betydelse för Sveriges säkerhet eller som omfattas av internationella säkerhetsskyddsåtaganden.
Dokument visar att generaldirektören känt till att det funnits sekretessbelagd information och skyddade personuppgifter i arkiven. Och att det larmats om detta på olika nivåer i organisationen vid flera tillfällen. Varningar som myndighetsledningen och generaldirektör Susanne Ås Sivborg inte tagit på tillräckligt stort allvar, enligt Expressens granskning.
I januari 2021 konstaterade en rättsutredning kring skyddade personuppgifter att om det inte går att åtgärda bristerna måste myndigheten överväga om tjänsten ska stängas ner. Liknande synpunkter fördes fram redan 2018 i en utredning som också delgavs ledningsgruppen. Då konstaterades det att ”åtgärder behöver göras skyndsamt”.
Dokument visar att myndighetsledningen känt till att det funnits sekretessbelagd information och skyddade personuppgifter i arkiven.
Efter att Ryssland började sitt anfallskrig mot Ukraina 2022 och säkerhetsläget kraftigt försämrats har situationen ställts på sin spets.
Den skarpaste varningen kom i april 2023, över ett år innan arkivet panikstängdes. Då skrev Lantmäteriets säkerhetsskyddschef i en tillsynsrapport att de hittat akter som omfattas av försvarssekretess i det öppna arkivet och att det är omöjligt att veta hur mycket mer hemligheter det finns där. Rapporten delgavs direkt till generaldirektören och hon fick rekommendationen att skyndsamt vidta åtgärder för att stoppa läckaget av hemlig information.
Stoppa alla digitala tjänster
”Gör översyn av/stoppa alla digitala tjänster där kunder har direkttillgång till icke-bedömda förrättningsakter.” står det i rapporten.
”Tillse att sekretessbedömningar görs av alla akter vid utlämnande, inklusive de som lämnas ut från Kundcenter och från enskilda kontor.”
Rekommendationer som myndigheten sedan inte följde.
”Skyndsamma åtgärder”
Informationssäkerhetsprojekt slår fast att det finns säkerhetsklasskyddade och hemliga uppgifter i arkivet (kartor, ritningar och detaljerade beskrivningar) och att “åtgärder behöver göras skyndsamt”.
”Stäng ner direktåtkomst”
Rättsutredning konstaterar att det finns skyddade personuppgifter i arkivet och att det finns risk att de röjs i tjänsten för direktåtkomst för utomstående kunder. Om åtgärder ej är möjligt uppmanas ledningen stänga ner direktåtkomst till arkivet.
Hemliga försvarsuppgifter
Intern tillsynsrapport varnar för att det finns hemliga uppgifter i arkivet som rör försvaret och totalförsvaret. Myndighetens ledning uppmanas åtgärda eller stänga ner direktåtkomst för externa kunder.
Stänger ner omedelbart
Generaldirektör Susanne Ås Sivborg uppger att hon först nu får bekräftade uppgifter om sekretesskyddat material i arkivet. På styrelsemötet informerar tre höga chefer om bristerna och konsekvenserna om inget görs – styrelsen beslutar att de omedelbart måste stoppa utflödet av hemliga uppgifter.
”En sådan arbetssättsförändring kan endast genomföras i dialog med generaldirektören då den är av strategisk betydelse för Lantmäteriet” skrev i augusti 2023 chefen för verksamhetsområdet i ett svar.
Senare i samma rapport trycktes återigen på att frågan om att stänga ner tillgången till arkivet är en fråga för ”generaldirektören i dialog med regeringen” eftersom den är av strategisk betydelse.
Frågor som är av ”strategisk betydelse” ska enligt myndighetens arbetsordning hanteras av styrelsen. Även myndighetsförordningen säger att principiellt viktiga frågor ska lyftas till styrelsen.
Exakt vilken dialog som fördes med generaldirektören vid den tidpunkten är oklart men de kommersiella kundernas tillgång till arkiven var oförändrad fram till maj 2024.
Tillgången till arkiven var oförändrad fram till maj 2024.
På regeringskansliet är det Landsbygds- och infrastrukturdepartementet som ansvarar för Lantmäteriet. Enhetschefen Lina Martinsson skriver i en kommentar att:
”Landsbygds- och infrastrukturdepartementet har inte fått del av någon information om att Lantmäteriets säkerhetsskyddschef har varnat internt på det sätt du beskriver. Frågor om den interna kommunikationen hänvisar jag till Lantmäteriet.”
Departementet uppger att de sedan tidigt i våras fått löpande information från Lantmäteriet och att de följer ärendet noga.
”Kan ha skadat rikets säkerhet”
Den 12 mars i år valde en anonym medarbetare på Lantmäteriet att slå larm till myndighetens visselblåsartjänst, då var det kundtjänstens bristfälliga hantering som var i fokus.
”Jag vill anmäla att Lantmäteriets kundcenter lämnat ut akter som allmänna handlingar utan att de sekretessgranskats trots att det framgår av handböcker och rutiner att så får inte ske”, skrev anmälaren.
Och i nästa mening: ”Det här har höga chefer på myndigheten blivit informerade om”.
Statistik visade att ett utlämnande kunde gå så snabbt som på fem sekunder, uppgav visselblåsaren. En akt kan innehålla hundratals sidor.
”Vi kan redan ha läckt information som kan ha skadat rikets säkerhet och bryter medvetet mot OSL” (Offentlighets- och sekretesslagen), skriver visselblåsaren.
Statistik visade att ett utlämnande kunde gå så snabbt som på fem sekunder, uppgav visselblåsaren.
Anmälan blev ett fall för myndighetens chefsjurist och snart visade det sig att även avdelning Säkerhet och säkerhetsskydd arbetade med samma uppgifter och fått bekräftat från personal på kundcenter att de rutinmässigt lämnade ut handlingar utan sekretessgranskning – i strid med de interna reglerna.
I intervjuer med anställda på kundtjänst, som säkerhetsavdelningen gjorde, framgår att kundcenters verksamhet i själva verket var uppbyggd kring att reglerna inte skulle följas.
Trots att personal på avdelningen i flera omgångar fått utbildningar där just kravet på sekretessprövning lyfts.
”Vid fråga kring om hur länge det här förfaringssättet pågått kan inte XX påminna sig om att det skett på annat sätt”, vittnade en anställd.
Myndigheten har försök att göra skadebedömningar till Säkerhetspolisen men misslyckats ge några svar.
Enligt ett annat dokument har personalen på kundcenter flera gånger själva lyft frågan i olika forum på myndigheten – utan någon reaktion.
Vi bara väntade på att det skulle explodera
Enligt flera källor ska delar av myndighetens ledning tvärtom talat om att myndigheten måste ha ”riskaptit” när det gäller just utlämnandet av allmänna handlingar. Riskaptit är ett uttryck som har använts bland annat på ledningsgruppens möten inför generaldirektören – enligt källorna.
– Hela situationen fick mig att tänka på IT-skandalen på Transportstyrelsen, vi bara väntade på att det skulle explodera, säger en källa.
Lantmäteriets slogan är ”Vi känner till varenda plats i Sverige”.
Frågan om hur Lantmäteriet lämnar ut allmänna handlingar har varit ett problem under lång tid – som myndighetens ledningsgrupp inte fullt ut hanterat. Genom åren har det kommit larm på larm. Internrevisionen slog 2021 larm om omfattande brister i hanteringen av sekretessen och gav 17 rekommendationer till förbättringar. Varav fyra var i den allvarligaste kategorin som visar på brister ”med risk för stor påverkan”.
När internrevisionen tre år senare under våren 2024 följde upp hur myndigheten åtgärdat bristerna var 15 punkter fortfarande inte åtgärdade.
Kvarstår en betydande risk
”...det kvarstår en betydande risk för brister i sekretessprövningen inför ett utlämnande av allmän handling vilket i förlängningen utgör en risk för felaktigt utlämnande, skada för Sveriges säkerhet och skada för individ med skyddade personuppgifter.” skrev internrevisionen i uppföljningsrapporten som presenterades för myndighetens styrelse först några veckor efter att arkivet stängts ner.
Enligt chefen för internrevisionen Johan Clasenius var det en formulering som skrevs under våren – före nedstängningen av arkivet i maj. Han säger att händelsen har påverkat verksamheten i väldigt stor omfattning. Han beklagar att de risker som internrevisionen varnade för 2021 nu också har inträffat.
– Det är ju inte bra för myndigheten eller för Sverige att de här riskerna har realiserats och inträffat, säger Johan Clasenius.
Hur Lantmäteriet hanterar risker är en del av Riksrevisionens årliga revision av myndigheten.
I en parallell utredning under 2021 av myndighetens regelefterlevnad påpekade internrevisionen ännu fler brister med tio punkter i den allvarligaste kategorin. Våren 2024 var sex punkterna ännu inte åtgärdade.
I undersökningen slog medarbetarna själva larm om myndighetens brist på respekt för lagen.
”Väldigt mycket avkall på regelefterlevnad till förmån för service och innovation som ger en kundnöjdhet eller publicitet.”
Internrevisionen beskrev också hur myndighetens jurister pressas och utsätts för påtryckningar ”för att juridiska utredningar ska anpassas till verksamhetens behov i stället för att se till lagstiftningen.” och hur det saknas rutiner för hur frågor som beslutas i strid med rekommendation från jurist ska hanteras.
Hur Lantmäteriet hanterar risker är en del av Riksrevisionens årliga revision av myndigheten.
Det var först efter att en visselblåsare anmälde saken och den kom till styrelsens kännedom som arkivet stängdes ner i panik.
I en samling dokument som lämnats in till Riksrevisionen finns en intern mejlkonversation mellan chefen för kundcenter och beredskapschefen. Den visar hur beredskapschefen försöker få chefen för kundtjänst att lova att de nu ska sluta lämna ut handlingar utan sekretessprövning.
Kundtjänstchefen undrar sedan hur det blir med de externa tjänsterna, ”är de också stoppade?”
Att de förstod att situationen var allvarlig och kunde få rättsligt efterspel blir tydligt av konversationen. ”Att åtgärder dröjer är generellt försvårande vid utredning” skriver beredskapschefen.
Mejlkonversationen mellan chefen för kundcenter och beredskapschefen.
Kundcenter stoppade då det okontrollerade utlämnandet av allmänna handlingar, men det skulle dröja ytterligare två månader innan myndigheten slutligen stängde de kommersiella kundernas direkt-access till de känsliga arkiven. Det skedde först efter att larmet slutligen nått myndighetens styrelse.
Det var inte aktuellt
Lantmäteriets generaldirektör Susanne Ås Sivborg säger att det var först i maj 2024 som hon fick bekräftat att det fanns hemliga uppgifter i arkivet och hon då agerade direkt.
– Att stänga ner tjänsterna utan att ha fått det bekräftat var inte aktuellt med tanke på de konsekvenser som en sådan här stängning får för samhället, säger Susanne Ås Sivborg.
Men du har ju genom åren fått flera skarpa rekommendationer om att stänga ner åtkomsten för externa kunder. 2021 säger man det och även i april 2023?
– Ja, och vi har vidtagit åtgärder kontinuerligt och vi granskar ju handlingarna när de upprättas och har också kontinuerligt vidtagit åtgärder för att säkerställa att information som är känslig av något sekretesskäl inte ska finnas tillgänglig.
I maj stängde Lantmäteriet utan förvarning ner hela sitt arkiv.
Anders Henningsson på Fortifikationsverket säger att han inte känner till de interna larmen på Lantmäteriet.
Hur ser du då på att de har fått den typen av varningssignaler och inte agerat på över ett år innan man stänger ner arkivet?
– Jag vill ju inte uttala mig om just den konkreta informationen innan jag ser vad det rör sig om. Men det är naturligtvis så att vi på vår myndighet förväntar oss att att andra myndigheter har ett tillfredsställande säkerhetsskydd, säger Anders Henningsson.
Läs en längre intervju med generaldirektören här:
Säkerhetspolisen uppger i en kommentar att de i egenskap av tillsynsmyndighet har löpande kontakter och dialog med Lantmäteriet och att de har en pågående tillsyn hos myndigheten.
Lantmäteriets tidigare säkerhetsskyddschef Peter Wengrud säger att han nu inte kan kommentera ärendet.
– När jag lämnade Lantmäteriet hade vi gjort en anmälan av säkerhetshotande händelse och den hade vi inte fått återkoppling på från tillsynsmyndigheten och i och med det kan jag inte uttala mig om ärende. Det vore att föregripa resultatet av tillsynsmyndighetens arbete, säger han."
Publicerad 20 nov 2024 kl 06.00
Uppdaterad kl 07.57
Ämnen i artikeln
Lantmäteriet
Källa:
https://www.expressen.se/nyheter/sverige/chefen-stoppade-inte...
