Ett par medarbetare vid Tullverkets tullkriminalverksamhet har använt molntjänsten Google Foto i sina tjänstemobiler. Tjänstemännen hade kopplat sina privata Google Foto-konton till sina tjänstemobiler som automatiskt synkat de foton och filmer som tagits i tjänsten till molntjänsten. Tullverket har angett att användningen av Google Foto inte var tillåten inom myndigheten.

– Att användningen av molntjänsten var otillåten fråntar inte Tullverket det ansvar som myndigheten har som personuppgiftsansvarig. Tullverket har inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra det inträffade genom att befintliga rutiner och tekniska spärrar för att hindra att uppgifter från tjänstemobiler kopieras och lagras i en amerikansk molntjänst varit bristfälliga, säger Jonas Agnvall som lett granskningen.

I IMY:s beslut framgår bland annat att det behöver finnas tydliga rutiner och riktlinjer för anställdas användning av tjänstemobiler och att de anställda också behöver få utbildning och information om hur personuppgifter får behandlas på telefonerna.

–  Det bör även finnas tekniska begränsningar för vilka appar som får laddas ner på tjänstemobilerna.

IMY konstaterar dock att det även finns förmildrande omständigheter. Det har varit fråga om ett fåtal medarbetare som utan myndighetens godkännande använt den aktuella molntjänsten. Bilder och filmer som laddats upp till molntjänsten har raderats. Dessutom har Tullverket efter att incidenten upptäckts vidtagit både tekniska och organisatoriska åtgärder för att förebygga liknande incidenter, bland annat genom att förtydliga riktlinjer och begränsa möjligheterna att ladda ner applikationer.

–  Vi utfärdar en administrativ sanktionsavgift på 300 000 kronor mot Tullverket, vilket är ett avsevärt lägre belopp än vad som varit motiverat utan de förmildrande omständigheterna, säger Jonas Agnvall.