Bakgrund

Sedan 2021 har dataskyddsarbetet inom Stockholms färdtjänst stått under lupp. En intern granskning det året visade brister i hur personuppgifter dokumenterades och skyddades. Regionrevisorerna har nu gjort en ny, mer ingående granskning och konstaterar att problemen kvarstår — grundläggande strukturer finns, men styrningen är inte tillräcklig.

Färdtjänsten hanterar stora mängder känsliga personuppgifter om resenärer med funktionsnedsättning. Trafiknämnden är personuppgiftsansvarig och anlitar externa leverantörer, bland annat Dynava AB (tidigare Samres AB) som har beställningscentraler i Senegal och Moldavien — utanför EU.

Vad beslutas

Trafiknämnden väntas den 26 maj 2026 besluta om att lämna förvaltningschefens tjänsteutlåtande som sitt officiella svar på revisorernas rapport nr 17/2025.

Revisorerna har identifierat flera brister: otydlig ansvarsfördelning, inaktuella styrdokument, bristfällig uppföljning av underleverantörer (åkare och åkerier), ofullständig registerförteckning och otillräcklig information till resenärer om att deras uppgifter behandlas utanför EU.

Trafikförvaltningen medger delvis kritiken och har redan uppdaterat information på webbsidan om tredjelandsöverföringar. Man har också inlett en utredning om det juridiska förhållandet mellan nämnden och de åkerier som kör åt färdtjänstens taxibolag.

Nästa steg

Om nämnden godkänner tjänsteutlåtandet vid mötet den 26 maj väntas ett strukturerat åtgärdsarbete följa. Dataskyddsfunktionen har redan identifierat sex prioriterade delmål för 2025–2027, bland annat leverantörsuppföljning, registerhantering och utbildning.

För resenärer innebär det att färdtjänsten ska bli tydligare med hur personuppgifter hanteras — särskilt när de behandlas av taxibolag, åkerier och beställningscentraler utomlands.