2014-09-22
SJ använde personuppgifter felaktigt vid IT-systemtest
Myndighetens granskning visar att SJ gjort fel som använt riktiga personuppgifter vid testerna.
I sitt beslut påpekar Datainspektionen att man så långt det är möjligt bör använda fingerade eller avidentifierade personuppgifter vid tester, att testmiljö och produktionsmiljö bör vara tydligt åtskilda och att det ska finnas rutiner på plats som förhindrar att testhandläggare av misstag utför åtgärder i produktionsmiljön.
– I de situationer personuppgifter används i testmiljön gäller samma regler som i produktionsmiljön. Detta innebär att instruktioner till användare, behörigheter, loggar, loggkontroller och IT-säkerhet ska gälla även för personuppgifter som behandlas i testmiljön, säger Datainspektionens jurist Evelin Asplund.
Datainspektionen konstaterar dock att SJ nu vidtagit åtgärder som gör att felet inte ska kunna upprepas.