En gäst som skulle bo på hotellet under fredagen tog kontakt på oss på redaktionen. "Om någon har skyddad identitet är ju det här bedrövligt", säger gästen som av flera anledningar inte vill uttala sig med namn.
Det var på fredagsmorgonen som hotellet i stadsdelen Ryd skickade ut ett mejl till sina ankommande gäster. När mejlet väl landade hos mottagaren innehöll det dock personuppgifter i form av namn och mejladresser – mottagarna av mejlutskicket hade alltså inte dolts för varandra. En av gästerna tog kontakt med redaktionen men vill inte framträda med namn.
– Mejlet skickades ut till mig och 101 personer till där jag kan se alla som ska bo på hotellet inatt. Det känns inte bra då det ju handlar om personuppgifter och man undrar hur deras system fungerar – det känns som att det är något knas säkerhetsmässigt, säger gästen.
– Scandic var ganska snabba, efter misstaget, med att skicka ut ett meddelande om att de försökte återta mejlutskicket – men om det har öppnats är det ju för sent. Nu har jag, via mejladresserna, uppgifter om var vissa av gästerna jobbar.
Magnus Ulfner, hotelldirektör på Scandic Väst, svarar oss via mejl:
– Den mänskliga faktorn låg bakom och det har vi rättat till och stärkt upp våra rutiner kring, då detta var en engångsföreteelse. Vi för alltid en dialog direkt med våra gäster och i detta enskilda fallet, om att det var den mänskliga faktorn som tyvärr gjorde att det inte blev helt rätt denna gång.
Integritetsskyddsmyndigheten (IMY) granskar så att myndigheter, företag och organisationer hanterar personuppgifter korrekt. Per Lövgren är pressansvarig på myndigheten:
– Vi kan inte kommentera specifika händelser men det är den som är personuppgiftsansvarig, i detta fall hotellet, som måste göra bedömningen om det har skett en incident eller inte, skriver han i ett mejl och fortsätter:
– I det här fallet rör det sig om ett felaktigt brevutskick där man inte har skickat känsliga personuppgifter. Det talar för att denna incident inte behöver anmälas till oss.
Enligt Integritetsskyddsmyndigheten är Scandics misstag ingen allvarlig incident. "I vår analys över de incidenter som inträffade under 2020 orsakades mer än hälften av alla incidenter av den mänskliga faktorn", skriver myndighetens pressansvariga Per Lövgren.
På IMY:s hemsida förklarar myndigheten att ett så kallat "felaktigt brevutskick" inte innehåller några känsliga personuppgifter och att antalet personuppgifter och personer som drabbas oftast är förhållandevis få. En aktör som har begått ett misstag ska göra en bedömning av incidenten och dokumentera den internt.
– För att komma tillrätta med incidenter som orsakas av den mänskliga faktorn behöver tekniska informationssäkerhetsåtgärder kompletteras med organisatoriska åtgärder så som löpande utbildning, skriver Per Lövgren.