Peter Samuelsson, avdelningschef för system och trafik. "Vi är under uppfattning att personen inte har lämnat ut uppgifterna till någon annan. Ser ingen risk och våra kunder behöver inte göra något".
En person har fått ut en lista med personuppgifter på kunder som är registrerade i UL-appens biljettsystem. Region Uppsala fick kännedom om incidenten i måndags efter att personen själv kontaktade regionen för att påpeka brister i deras system.
– Det är en privatperson som har kontaktat oss och berättade om upptäckten. Vi har varit i kontakt med personen och säkerställt att uppgifterna som hämtats ut har raderats och inte spridits vidare, säger Peter Samuelsson, avdelningschef för system och teknik.
De uppgifter personen fått tag på är telefonnummer, historik för biljettköp samt e-postadresser. Inga kontonummer, lösenord eller personnummer har läckts.
Nu anmäls incidenten till Integritetsskyddsmyndigheten. Det är oklart hur många kunder som är berörda, men Region Uppsala fortsätter att utreda händelsen och kommer att kontakta samtliga berörda kunder.
– IT-systemet är åtgärdat och nu har vi börjat processen att kontakta alla som funnits med i registret. Under dagen skickar vi ut mejl samt sms och berättar vad som hänt och att vi har åtgärdat IT-systemet, säger Peter Samuelsson.
Dataskyddsexperten och juristen Mattias Gotthold menar att det inte är ovanligt att brister i system upptäcks av utomstående personer. Enligt honom har de flesta myndigheter, regioner och större företag ett dataskyddsombud som personer kan vända sig till. En del företag uppmuntrar även privatpersoner till att leta efter brister.
– Jag brukar tycka att det är hjälpsamt. Oavsett hur mycket resurser man lägger ned kommer det alltid att finnas brister. Jag tycker inte det är dåligt eller fel så länge personen inte gör något olagligt, säger han.
Mattias Gotthold är dataskyddsexpert och jurist. "Det krävs aktivt arbete för att hitta luckor och gör man inte det upptäcks de ofta när någon annan påpekar att det finns brister".
Vilka risker ser du med de personuppgifter som läckts?
– Jag känner inte till närmare detaljer om incidenten, men utifrån de uppgifter som läcks kan historik potentiellt innebära att man kan lista ut personens rörelsemönster och det kan säga ganska mycket om en person. Det är uppgifter som ska hanteras varsamt.
Rättningen i UL:s systemet gjordes i tisdag och det ska nu inte längre gå att få ut personuppgifter. Incidenten bedöms som allvarlig då den inskränker på kunders integritet och Region Uppsala fortsätter att arbeta med att öka säkerheten.
– Det är tråkigt när en incident händer men jag brukar säga att det är ett lärotillfälle. Det är ofta efter en händelse det är som säkrast för då lägger man ned ett stort fokus på att åtgärda brister, säger Mattis Gotthold.