Just nu kämpar företag, myndigheter och organisationer med att få ordning på sin datahantering inför den 25 maj. Då träder de nya dataskyddsreglerna inom EU i kraft, GDPR.
En myndighet som tycks kämpa i viss motvind är Stockholms stads trafikkontor.
För att komma åt Trafikkontorets tjänster och geodata krävs en digital så kallad API-nyckel. Under gårdagen skickades ett mejl ut till alla som beställt en sådan nyckel, med information om säkerhet och GDPR – samt ett förtydligande kring varför mejladresser lagras.
“Vi sparar mail-adresser för att kunna leverera en tidigare beställd API-nyckel och för att kunna komma i kontakt med API-nyckel-innehavare vid stora ändringar på tjänsten. Din mail-adress lämnas aldrig ut till tredje part. Skicka ett mail om du inte vill ha kvar din API-nyckel och därmed ta bort din mail-adress från vårt register”.
Mottagarna kunde dock se på sändlistan vilka andra adresser som mottagit samma mejl.
En halvtimme senare meddelade Trafikkontoret:
“I föregående utskick har vi tyvärr missat att dölja era adresser. Detta är något som inte får ske, men vi kan bara konstatera att det ändå blev så. Vi kan inte annat än att be om ursäkt för detta och vi skulle vilja be Er att radera föregående mail. Ursprunglig information finns längre ned i detta mail”.
Jan Alberts, IT-chef på Trafikkontoret, lyfter fram den mänskliga faktorn som orsak till det inträffade.
“Personen som gjorde utskicket hade goda intentioner i att informera om GDPR och vi är alla djupt bedrövade över misstaget. Det ska dock sägas att det inte är någon lag som vi har brutit mot. Enligt personuppgiftslagen som gäller nu, räknas e-postadresser som ostrukturerad data. I sammanhanget blir det ju lite ironiskt och det hade såklart varit bättre att dölja adresserna”, säger han.
För att något liknande inte ska inträffa igen kommer Trafikkontoret att säkerställa sina it-system och hålla utbildningar med personalen.