search bubble news heart bars angle-right angle-up angle-down Twitter Facebook linkedin close clock map-marker calendar
  • Nyhetsreportage

Stora skillnader när domstolar använder krypterad e-post

Domstolarna använder krypterad e-post, så kallade säker e-post, i väldigt olika utsträckning. Vissa krypterar nästan all e-post, andra ingen. Avsaknaden av enhetliga riktlinjer medför onödiga extra moment för ombuden.

År 2013 upphandlade Domstols­verket ett system för att kunna erbjuda samtliga domstolar en lösning för att kunna skicka sekretessbelagd information med krypterade mejl, så kallad säker e-post.

Med systemet kan domstolarna i dag skicka meddelanden till ombud, partsföreträdare och allmänheten med tre olika säkerhetsnivåer: okrypterat, med länk till dokument på Domstolsverkets säkra server och med säkerhetskod till dokument på Domstolsverkets säkra server. (Läs mer i faktarutan längst ned på sidan)

Men nu fyra år efter upphandlingen är det fortfarande väldigt olika hantering bland domstolar kring säkerhetsnivåer och vilka handlingar som krypteras och inte.

Enligt Agneta Kornstrand, chef för avdelningen för domstolsutveckling på Domstolsverket, skiljer det sig mycket åt mellan domstolarna kring vilken utsträckning de krypterar sin e-post. Vissa domstolar använder aldrig säker e-post och andra använder det i stor utsträckning.

– Alla domstolar har tillgång till funktionaliteten, men det ser väldigt olika ut hur säker e-post används. Det finns domstolar som inte använder den alls, särskilt i Stockholmsområdet används det i liten utsträckning, säger Agneta Kornstrand.

Peter Savin, delägare i advokatbyrån Glimstedts i Kalmar, är kritisk till domstolarnas väldigt olika hantering och avvägningar kring när säker e-post är motiverat och inte.

– Enkelt förklarat används det inte alls eller till allting, de skyddar i onödan och i andra fall underlåter de att skydda e-posten. Vissa krypterar ett dagboksblad för en tvist mellan två bolag, andra skickar handlingar utan säker e-post trots att de innehåller känsliga uppgifter, säger Peter Savin.

Savin upplever framför allt att flera domstolar överanvänder krypteringen av utgående e-post och liknar det med att all post från dem, om den vore post med brevbäring, skulle vara rekommenderade brev med mottagningsbevis.

– Jag är allt annat än teknikfientlig, men hela syftet med e-post är att det ska vara enkelt och snabbt. Att då krångla till det för oss brukare tycker jag är fel, men flera domstolar tycks hantera den här frågan genom att sekretesstämpla allting, säger han.

Agneta Kornstrand på Domstolsverket menar att det bland domstolarna, trots de stora olikheterna kring krypteringen, finns en ökad medvetenhet kring hanteringen av känsliga uppgifter.

– Vi ser att användningen av krypterad e-post ökar kontinuerligt, i alla fall den mellersta säkerhetsnivån med säker e-post utan kod. Medvetenheten kring personuppgiftshantering och behovet av att reflektera över frågan har generellt sett ökat på domstolarna, säger hon.

I januari 2015 skickade Sveriges alla domstolar 32 794 e-postmeddelanden med den mellersta säkerhetsnivån, krypterade utan kod. För samma period 2017 var siffran drygt 85 000.

Domstolsverkets riktlinjer anger uttryckligen att sekretessbelagda uppgifter inte får skickas utan kryptering, men eftersom varje domstol är en egen myndighet måste de själv ta ställning till med vilken säkerhetsnivå ett meddelande ska skickas.

– Vi har e-postriktlinjer där vi ger generella övergripande rekommendationer kring att en brottmålsdom typiskt sett innehåller så mycket känslig information att det bör användas säker e-post när den mejlas, säger Agneta Kornstrand.

Tidskriften Advokaten har gjort ett antal stickprov på domstolar kring vilken säkerhetsnivå de använde för brottsmålsdomar, som bekräftar att avvägningarna kring när säker e-post är motiverat och inte skiljer sig åt mellan olika domstolar. Helsingborgs tingsrätt, Varbergs tingsrätt och Norrköpings tingsrätt använde den mellersta säkerhetsnivån, medan Gävle tingsrätt och Växjö tingsrätt skickade domarna som okrypterad e-post.

– Vi har försökt samordna arbetet med att ta fram gemensamma riktlinjer men det var då tydligt att många domstolar ville ta fram egna riktlinjer och att man inte kunde enas, säger Agneta Kornstrand.

En administrativ börda

Advokatsamfundet påtalade i samband med upphandlingen av krypteringssystemet 2013 att kravet på att varje meddelande först måste sparas på advokatens dator innan det kan vidarebefordras till klienten innebär en ökad och inte önskvärd administrativ börda för advokaterna. Efter synpunkterna från Advokatsamfundet förlängde Domstolsverket den tid som meddelandena lagras på servern från 14 dagar till nuvarande 30 dagar.

Peter Savin menar att det ”urskillningslösa användandet av säker e-post” medför onödiga extra moment för honom och hans kollegor. Han menar att han talat med kollegor både på advokatbyrån och utanför byrån som delar den uppfattningen.

– Säker e-post tvingar mig som ombud att själva ladda hem innehållet. Jag kan inte delegera uppgiften till biträdande jurist eller assistent. Jag kan inte heller som med vanlig e-post vidaresända domstolens e-post till min huvudmans handläggare. Och ibland handlar det om tio–tolv bilagor som behöver laddas ned en och en, säger Peter Savin.

Agneta Kornstrand på Domstolsverket betonar att det är viktigt att alla domstolar arbetar med riktlinjer för handläggarna kring när vilken av de tre säkerhetskrypteringarna bör användas.

– Det är viktigt att kryptering bara används när det behövs, så att inte mottagaren tyngs ner med en onödig administrativ börda. Det är därför viktigt att alla inblandade hittar en bra avvägning när de använder det ena eller andra, säger Agneta Kornstrand.

Men Kornstrand poängterar också att det finns en viss poäng med merarbete för brukarna då någonting korrekt klassas som antingen den mellersta eller den högsta säkerhetsnivån.

– Att det skapar visst merarbete för mottagaren ligger i sakens natur, det är en del i säkerheten. Det är meningen att det inte ska vara helt enkelt att vidarebefordra och sprida uppgifterna, säger hon.

Personalomsättning påverkar

I Nyköpings tingsrätt finns fastställda riktlinjer för att e-post ska användas i så stor utsträckning som möjligt och hur e-post ska hanteras. Beroende på typ av handlingar, till exempel om de innehåller känsliga uppgifter eller omfattas av sekretess, så används den mellersta eller högsta säkerhetsklassen. Andra handlingar som många kallelser, förelägganden och meddelanden skickas med vanlig okrypterad e-post.

Lagmannen vid Nyköpings tingsrätt Magnus Widebeck ser olika delförklaringar till att det spretar mellan olika domstolar i hur de arbetar med säker e-post, och att säker e-post används i liten utsträckning vid domstolarna i Stockholmsområdet. En viktig orsak till skillnaderna beror på omsättningen eller frånvaro av omsättning av handläggare på domstolarna. Widebeck betonar att handläggarna har en nyckelroll i domstolarnas verksamhet och för frågan om säker e-post. I Nyköpings tingsrätt är personalomsättningen bland handläggarna låg och domstolens e-posthantering fungerar därför smidigt och effektivt. I storstadsområden som Stockholm är bilden en helt annan, enligt Widebeck.

– Med hög personalomsättning blir det betydligt svårare att prioritera frågan om säker e-post. När en handläggare anställs är det viktigaste att de först utbildas i hur frågor om hur till exempel kallelser och delgivningar ska hanteras. Säker e-post kommer senare, säger han.

En annan delförklaring kan vara att domstolarnas riktlinjer kan variera en hel del. Han understryker att för att en policy ska fungera måste den vara kortfattad och tydlig så att den går att tillämpa på effektivt och praktiskt sätt. Han tror inte att det är någon bra idé att Domstolsverket författar generella riktlinjer för alla Sveriges domstolar.

Widebeck konstaterar även att när e-posten infördes på domstolarna för ett tiotal år sedan fanns inte säker e-post. Och det kan på vissa domstolar finnas en uppfattning av att det som fungerade då fungerar även i dag.

Ytterligare en delförklaring till att det spretar handlar om att för domstolar är själva dömandet kärnverksamheten, men inte säker e-post.

– Vår kärnverksamhet, dömandet, ska fungera glimrande, vi ska döma rätt och snabbt, förtydligar Widebeck som menar att frågor som säker e-post inte alltid är högt prioriterat. På ett liknande sätt som med personuppgifter. Frågorna är relativt nya, rör it, är inte de centrala i domstolarnas administrativa arbete och hamnar därför lite i skymundan, säger Magnus Widebeck och fortsätter:

– Det är först när det går helt galet, som man uppmärksammar att det där borde vi nog inte ha gjort. När man har skickat något sekretessbelagt med vanlig e-post och det har kommit fel. Man skickar till en person med snarlik adress så blir det helt fel. Det är en rysare och sådant som inte ska inträffa.

Handlar om servicenivå

En annan tingsrätt som arbetat medvetet med frågan är Uppsala tingsrätt. Som ny lagman vid tingsrätten 2015 upplevde Catarina Barketorp att e-post inte var ett lika naturligt verktyg som på hennes tidigare arbetsplatser Södertörns tingsrätt och Solna tingsrätt, där parter och ombud i flera år kunnat få domar och liknande på e-post i stället för via papperspost.

– Många ombud vill kunna läsa en dom i datorn eller i sin telefon. Om de vi har att göra med vill använda e-post måste vi ställa upp på det så långt vi kan och får. Det handlar om att ha en servicenivå, säger Catarina Barketorp.

2015 togs därför en snabbguide eller lathund fram till tingsrättens handläggare för att visa vilka säkerhetsnivåer som finns och när vilken av nivåerna ska användas, och vilka typer av handlingar som då kan skickas. Samma snabbguide används av Uppsala tingsrätt än i dag.

Barketorp menar att det hos vissa domstolar kan finns en överdriven oro för säkerhetsrisker när det handlar om elektronisk kommunikation, och att de därför kanske krypterar mer än vad som egentligen är nödvändigt. Hon säger att hon har förståelse om advokater och biträdande jurister tycker att det borde finna en enhetlig policy för hela domstolsväsendet kring hur säkerhetsnivåerna för krypterad e-post ska tillämpas.

– För våra kunder – parter och deras ombud – vore det väl utmärkt om det fanns en gemensam linje bland domstolarna inom denna och kanske flera andra frågor också. Vi försöker nog alla hitta en bra tillämpning, men visst vore det väl önskvärt om man kunde enas om en sak som denna, säger hon.

FAKTA: Så funkar det

Den upphandlade lösningen innebär att elektroniska meddelandena inte skickas direkt till mottagaren. I stället lagras de krypterat på en säker server hos Domstolsverket, dit mottagaren får en länk. Domstolarnas grad av kryptering varierar mellan 0 och 63  procent av den utgående e-posten.

Tre säkerhetsnivåer:

  1. Den lägsta säkerhetsnivån motsvarar vanlig, okrypterad e-post.
  2. Den mellersta säkerhetsnivån innebär att mottagaren får ett meddelande om att ett dokument finns på Domstolsverkets säkra server.
  3. Den högsta säkerhetsnivån innebär att mottagaren får e-post om att en säkerhetskod skickas med sms till mot­tagarens mobiltelefon. Säkerhetskoden behövs för att hämta meddelandet på Domstolsverkets server.
Johan Persson