Datainspektionen har tagit emot ett klagomål som gör gällande att SJ har använt riktiga personuppgifter vid test av ett IT-system. Detta har lett till att det felaktigt tagits en kreditupplysning på personen som lämnat klagomålet och att denne vid ett antal tillfällen har fått biljetter och fakturor skickade till sig.

Myndighetens granskning visar att SJ gjort fel som använt riktiga personuppgifter vid testerna.

I sitt beslut påpekar Datainspektionen att man så långt det är möjligt bör använda fingerade eller avidentifierade personuppgifter vid tester, att testmiljö och produktionsmiljö bör vara tydligt åtskilda och att det ska finnas rutiner på plats som förhindrar att testhandläggare av misstag utför åtgärder i produktionsmiljön.

– I de situationer personuppgifter används i testmiljön gäller samma regler som i produktionsmiljön. Detta innebär att instruktioner till användare, behörigheter, loggar, loggkontroller och IT-säkerhet ska gälla även för personuppgifter som behandlas i testmiljön, säger Datainspektionens jurist Evelin Asplund.

Datainspektionen konstaterar dock att SJ nu vidtagit åtgärder som gör att felet inte ska kunna upprepas.