meny

Fel av SJ använda riktiga personuppgifter då IT-system testades

SJ gjorde fel då bolaget använde riktiga personuppgifter när ett IT-system testades. Bolaget har dock rättat till sina rutiner så att felet inte ska uppstå igen.

Datainspektionen har tagit emot ett klagomål som gör gällande att SJ har använt riktiga personuppgifter vid test av ett IT-system. Detta har lett till att det felaktigt tagits en kreditupplysning på personen som lämnat klagomålet och att denne vid ett antal tillfällen har fått biljetter och fakturor skickade till sig.

Myndighetens granskning visar att SJ gjort fel som använt riktiga personuppgifter vid testerna.

I sitt beslut påpekar Datainspektionen att man så långt det är möjligt bör använda fingerade eller avidentifierade personuppgifter vid tester, att testmiljö och produktionsmiljö bör vara tydligt åtskilda och att det ska finnas rutiner på plats som förhindrar att testhandläggare av misstag utför åtgärder i produktionsmiljön.

- I de situationer personuppgifter används i testmiljön gäller samma regler som i produktionsmiljön. Detta innebär att instruktioner till användare, behörigheter, loggar, loggkontroller och IT-säkerhet ska gälla även för personuppgifter som behandlas i testmiljön, säger Datainspektionens jurist Evelin Asplund.

Datainspektionen konstaterar dock att SJ nu vidtagit åtgärder som gör att felet inte ska kunna upprepas.

Läs Datainspektionens beslut i pdf-format