Sverige

IT-skandalen på Transportstyrelsen: Detta har hänt

Sekretessbelagda uppgifter har läckt i samband med att Transportstyrelsen lät utländska företag ta över myndighetens IT-drift. Regeringens hantering av skandalen har lett till att alliansen har väckt en misstroendeförklaring mot tre statsråd.

Alliansens partiledare, Annie Lööf (C), Anna Kinberg Batra (M), Ebba Busch Thor (KD) och Jan Björklund (L) håller pressträff i Moderaternas kansli i Stockholm. Alliansen kommer att väcka misstroendeförklaring mot tre ministrar.Bild: Erik Simander/TT

2011

Januari
• Riksrevisionen presenterar en utredning om statens outsourcing som konstaterar att statliga myndigheter borde lägga ut fler IT-tjänster på entreprenad. Statens IT-kostnader beräknas vid den här tiden uppgå till över 20 miljarder kronor årligen.
Maj
• Den dåvarande regeringen under Fredrik Reinfeldt delar en skrivelse där man instämmer med Riksrevisionens bedömning om att fler av statens IT-kostnader bör outsourcas.

2012

• Transportstyrelsens dåvarande generaldirektör Staffan Widlert beslutar att påbörja en extern upphandling av myndighetens IT-tjänster som fram tills dess har hanterats av Trafikverket. Genom detta hoppas myndigheten spara över 200 miljoner kronor årligen.

2014

• I början av året säger Transportstyrelsen upp avtalet med Trafikverket.

2015

1 Mars
• Maria Ågren efterträder Staffan Widlert på posten som Transportstyrelsens generaldirektör.
1 April
• Transportstyrelsen beslutar att outsourca – lägga ansvar för – skötseln av flera register till det internationella IT-företaget IBM. Maria Ågren skriver under beslutet på upphandlingen en månad efter att hon tillträtt på sin post.
Avtalen var värda drygt 700 miljoner kronor och var bland de största affärerna av sitt slag i svensk myndighetshistoria, kontrakten omfattade över 1 000 servrar med hemlighetsstämplad information men även fysiska datahallar och mänsklig it-support.
I databasen finns, förutom information kring alla fordon i Sverige, även körkortsinnehavares personuppgifter. Bland dem även körkortsinnehavare med skyddad identitet.
Maj
• En rad problem uppdagas med upphandlingen med IBM. Utländska tekniker på IBM som ska genomföra flytten av datan har inte säkerhetsgranskats, en tidskrävande process som om den genomförs skulle göra att projektet inte blir klart i tid. Det skulle innebära att vissa av Transportstyrelsens register skulle behöva stängas ned vid årsskiftet när det tidigare avtalet med Trafikverket löper ut. Trafikverkets personal och lokaler är redan uppsagda vilket skapar press på ledningen på Transportstyrelsen.
Efter interna diskussioner beslutar Maria Ågren att "göra avsteg" från lagar som skulle skydda känsliga uppgifter: Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen samt myndighetens egna krav på informationssäkerhet.
Hon gav därmed utländska tekniker full tillgång till hemlig information trots att de inte var säkerhetskontrollerade. Detta för att säkerställa att projektet blir klart i tid.
Beslutet om avsteget beläggs med sekretess vilket gör att få personer på myndigheten känner till det.
Juni
• När Säpo får reda på att IT-driften ska outsourcas till Östeuropa, närmare bestämt Tjeckien och Rumänien, inleds en granskning. IBM har i sin tur outsourcat en del av verksamheten till andra företag, i bland annat Serbien. Nu har alltså utländsk personal ansvar för svenska, sekretessbelagda uppgifter.
• Under sommaren inleds Säpos säkerhetsgranskning av överflyttningen av IT-driften och de hävdar att det finns risk att känsliga uppgifter kan komma att hanteras fel.
• Även Transportstyrelsens internvrevisor ifrågasätter beslutet – utan att styrelsen reagerar. Istället godkänner Maria Ågren fler ”avsteg” för IBM:s personal under sommaren då projektet drar ut på tiden.
25 November
• Säpo rekommenderar ett omedelbart stopp för affären men varningen förbises.

2016

Januari
• Under januari månad inleds en förundersökning mot Maria Ågren gällande vårdslöshet med hemlig uppgift. Hon misstänks för att tagit beslut som kan röja hemliga uppgifter.
• I samma veva får inrikesministern Anders Ygeman (S) reda på händelsen.
Februari
• Maria Ågren informerar för första gången personligen sitt departement och ansvarig statssekreterare om förundersökningen och de avsteg som har gjorts.
Mars
• Outsourcad personal i utlandet skickar av misstag ut uppgifter om fordonsägare med skyddad identitet till en mängd företag. Företagen prenumererar på uppgifter från en databas med Transportsstyrelsens fordonsregister, men uppgifterna om fordonsägare med skyddad identitet brukar vara undantagna från databastjänsten.
Transportstyrelsen skickar ut sekretessbelagda uppgifter – två gånger.
För att åtgärda misstaget skickar Transportstyrelsen ett öppet mejl med samtliga registrerings- och chassinummer på alla de bilar som ägdes av personer med skyddad identitet till berörda företag som ombeds att själva rensa bort den hemliga datan.
• Försvarsministern Peter Hultqvist (S) informeras om säkerhetsbristerna i och med affären.
Fakta

Uppgifter som har läckt

Körkortsregister med namn och körkortsnummer på samtliga med körkort i Sverige (inklusive de som lever med skyddad identitet.)

Bilregister på samtliga med bil i Sverige.

Register över Sveriges militärfordon. Inklusive de som är ur funktion. Även hemliga fordon har läckts med uppgifter på till exempel stridspiloter.

Uppgifter om var Sverige är som mest vid attack. (Vägar och broar).

2017

Januari
• I början av januari får statsminister Stefan Löfven (S) och infrastrukturminister Anna Johansson (S), som ansvar för myndigheten, vetskap om problemen
• I slutet av januari får Ågren sluta med motiveringen att "regeringen och den tidigare generaldirektören har haft olika syn på hur arbetet ska bedrivas".
6 Juli
• Blir det känt, via media, att Maria Ågren erkänt brott och accepterat ett strafföreläggande på totalt 70 000 kronor för grov oaktsamhet.
• Riksenheten för säkerhetsmål uppger att de läckta uppgifterna kan vara till skada för rikets säkerhet.
• Samma dag bekräftar statsminister Stefan Löfven att misstankarna mot Maria Ågren fanns redan i januari när hon lämnade sitt jobb med omedelbar verkan.
16 juli
• SVT avslöjar att regeringen inte informerade utrikesnämnden gällande IT-skandalen
18 juli
• Infrastrukturminister Anna Johansson (S) meddelar att myndighetens styrelseordförande Rolf Annerberg får sluta då han haft kännedom om läckan i två år.
20 juli
• Inrikesminister Anders Ygeman (S) säger att han fick vetskap om misstänkta brister på Transportstyrelsen i samband på SÄPO:s förundersökning från januari 2015– men preciserar inte när.
21 juli - 23 juli
• Oppositionen för misstroendeförklaring den 21 juli mot ett eller flera statsråd.
• Dagen därpå, den 22 juli, öppnar även Sverigedemokraterna för att väcka eller stödja en misstroendeförklaring
• Den 23 juli ansluter sig även Vänsterpartiet.
26 juli
Alliansen håller en presskonferens där de gemensamt meddelar att de väcker misstroende mot tre socialdemokratiska statsråd – försvarsminister Peter Hultqvist, infrastrukturminister Anna Johansson och inrikesminister Anders Ygeman.
Efter en lång dag av möten på Rosenbad meddelar regeringen att en pressträff ska hållas följande dag 10.00.
27 juli
• Stefan Löfven meddelar att han ombildar sin regering. Anders Ygeman och Anna Johansson har självmant valt att lämna sin uppdrag. Även folkhälsominister Gabriel Wikström, som varit sjukskriven en längre period, lämnar regeringen. Detta har dock ingen koppling till skandalen på Transportstyrelsen.
• Anders Ygeman blir ny gruppledare för socialdemokraterna i riksdagen och behåller därmed en toppost inom partiet.
• Stefan Löfven meddelar även att försvarsminister Peter Hultqvist kommer att behålla sin post i den ombildade regeringen trots den misstroendeförklaring som har riktats mot honom från fem partier. Under dagen meddelar Alliansen och Sverigedemokraterna att de vidhåller sina krav på Hultqvists avgång. Stefan Löfven säger därefter att han tänker sitta kvar på sin post även om Peter Hultqvist tvingas lämna efter ett misstroendevotum.
• Övriga förändringar i regeringar: Tomas Eneroth blir ny infrastrukturminister. Morgan Johansson, tidigare justitieminster blir nu även inrikesminster. Heléne Fritzon blir migrations- och bitrådande justitieminister. Annika Strandhäll, socialminster, tar över folkhälsoministerns tidigare ansvarsområden.
• Nitton ministrar i regeringen får oförändrade arbetsuppgifter..
Slutligen: Har information läckt ut? Hur sköttes hanteringen av uppgifterna?
Tre tjeckiska IBM-anställda fick full tillgång till alla data och loggar vilket öppnade för möjligheten att kopiera och sända vidare dokument och data för att senare kunna sopa igen spår.
All kommunikation över brandväggarna sköttes, delegerat av IBM, av ett serbiskt IT-företag där 14 personer var administratörer, utan att ha genomgått någon form av svensk säkerhetskontroll.
– I fallet Serbien finns en ganska nära relation mellan den serbiska och den ryska underrättelsetjänsten. I värsta fall har man gett utländska underrättelsetjänster en ingång i datasystemen, säger säkerhetsexpeten Johan Wiktorin til DN.
I förundersökningen mot Maria Ågren har flera organ yttrat sig om rikets säkerhet, men den delen av protokollet har belagts med total sekretess.
Källor: DN, SVT, TT, Breakit, Expressen
Den ursprungliga texten har ändrats.
Läs alla artiklar om: IT-skandalen på Transportstyrelsen
Gå till toppen