PT kan avslöja att IT-chefen Eva Wikström vidarebefordrat ett stort antal dokument med kommunens säkerhetsarbete till sin privata hotmail.
IT-experten Martin Lindgren menar att förfarandet är högst olämpligt, men kommunchefen Andreas Lind vill inte kommentera agerandet.
– Jag vill inte uttala mig med hänvisning till den process vi är inne i just nu, säger han.
Generellt – är det okej att kommunanställda mejlar känslig säkerhetsinformation till sina privata e-postkonton?
– Nej, säkerhetskänslig information behöver vi hantera väldigt varsamt i kommunen.
Piteå kommun har en policy för informationssäkerhet. Den reglerar inte hantering av e-post specifikt, men i Piteå kommuns anvisning för posthantering framgår bland annat att känsliga eller extra skyddsvärda personuppgifter aldrig ska skickas via e-post utanför kommunorganisationen. Anställda ska även vara försiktiga med att öppna e-post på externa nätverk.
– Okrypterad e-post är inte ett säkert sätt att kommunicera på och säkerhetskänslig information ska inte skickas med e-post utanför kommunnätverket utan kryptering, skriver Andreas Lind i ett mejl.
Informationssäkerhetspolicyn listar flera exempel på incidenter som kan få allvarliga konsekvenser för kommunen. Ett av exemplen är just när sekretessbelagd eller känslig information från IT-system hamnar på annat ställe än det som var tänkt från början, vilket kan medföra skada eller men för en medborgare, organisation eller kommunens egen verksamhet.
"Förutom att incidenter bryter mot eller hotar bryta mot kommunens egna regler och förordningar, kan de vara straffbara enligt brottsbalken, vilket kan innebära att arbetsgivaren tvingas till att polisanmäla händelsen", står det i policyn.
Enligt Andreas Lind har inte kommunen gjort någon polisanmälan eller upprättat någon form av avvikelserapport.
– I övrigt vill vi inte uttala oss med hänsyn till att det pågår ett personalärende.
Piteå-Tidningen har begärt ut de cirka 70-tal mejl och bilagor som IT-chefen skickat från myndigheten till sin privata e-post. Bland annat ett stort antal mejl som rör kommunens säkerhetsarbete.
Även om handlingarna lämnat kommunhuset anser Piteå kommun att mejlen är myndighetsintern korrespondens som inte är allmän handling. Motiveringen är att Eva Wikström var anställd hos myndigheten och skickade e-brevet till sig själv i tjänsten.
Piteå kommun har beslutat att lämna ut tre av mejlen med motivering att de har anknytning till ärenden som är färdigbehandlade.
Det handlar bland annat om en revisionsrapport från 2019 som kritiserar kommunens IT-säkerhet samt en uppföljande granskning från 2022 där revisorerna ser allvarligt på att alla brister inte har åtgärdats. Det andra är en projektplan från 2020 om att ta fram en förstudie för en flytt av IT-infrastruktur till molnet MS 365.
"Övriga myndighetsinterna handlingar är antingen av helt privat karaktär, har ärendeanknytning men är att betrakta som minnesanteckningar/mellanprodukter eller har inte ärendeanknytning men inte heller färdigställts på annat sätt, till exempel genom att skrivas ut och sättas in i en pärm eller delas ut. Dessa handlingar är inte allmänna handlingar och kommer inte att lämnas ut", skriver Maria Ölund Gunnelbrand, huvudregistrator på kommunledningsförvaltningen.