Redan 2010 när Datainspektionen granskade hur Västra Götalands län hanterade personuppgifter framkom till exempel att alla användare kunde komma åt alla handlingar som inte var sekretessbelagda. Datainspektionen var även kritisk till hur länsstyrelsen publicerade uppgifter i ett webbdiarium som kunde nås av allmänheten.
När Datainspektionen nu granskat övriga 20 länsstyrelser i landet konstaterar man att flera av bristerna finns även hos dem. Ett vanligt fel är att det saknas behörighetsstyrning i it-systemen som ska säkerställa att en anställd bara ska kunna komma åt personuppgifter som behövs för de egna arbetsuppgifterna.
– För all offentlig verksamhet där man publicerar personuppgifter på internet i exempelvis diarier är det mycket viktigt att ha fungerande rutiner som säkerställer att bland annat känsliga personuppgifter och uppgifter som rör brott tas bort innan publicering, säger Maria Karlströms som lett Datainspektionens granskning.
Datainspektionen har nu tagit fram en vägledning för länsstyrelserna.