Allmän handling drivs av Panoptes Sweden AB, Sveriges ledande researchbolag. Våra övriga verksamheter är researchbolaget Acta Publica och Nyhetsbyrån Siren.
En journalist hade rätt att få ut en rapport om en personuppgiftsincident som hade kommit in till Datainspektionen. Kammarrätten slog fast att rapporten kunde lämnas ut i sin helhet. Incidentrapporter kan visserligen ge upplysningar om att en viss ingivares IT-system är sårbart för attacker. Men i det här fallet avsåg inte rapporten intrång eller brister i ett IT-system. Därmed var den harmlös och kunde lämnas ut, enligt kammarrätten.
Namn på räddningstjänstpersonal som förekom i avvikelse- och incidentrapporterna som hade kommit in till Storstockholms brandförsvar var offentliga uppgifter. Det slog kammarrätten fast i den här domen. Rapporterna hade begärts ut av en journalist och det fanns inte skäl att tro att hon skulle utsätta den berörda personalen för våld eller annat allvarligt men. Därför var namnuppgifterna inte hemliga enligt personalsekretessen i OSL 39:3, menade kammarrätten. Det fanns däremot andra uppgifter i rapportera som var hemliga med hänvisning till att ett utlämnande skulle skada brottsbekämpande verksamhet och användandet av telekommunikationssystemet RAKEL.
En journalist begärde ut IT-incidentrapporter som olika myndigheter hade skickat in till Myndigheten för säkerhetsskydd och beredskap (MSB). MSB lämnade ut rapporterna men först efter att ha maskat i stort sett samtliga uppgifter i dessa. Journalisten överklagade till kammarrätten och yrkade att åtminstone få ut namnet på de rapporterande myndigheterna och tillräckligt mycket av incident- och konsekvensbeskrivningarna för att förstå sammanhanget. Kammarrätten avslog överklagandet.
En journalist nekades få ut de incidentrapporter som rörde IT-säkerheten för Karolinska universitetssjukhuset under 2012 och 2013. Även uppgiften om antalet rapporter om IT-säkerheten vid sjukhuset var sekretessbelagd. Det slog kammarrätten fast med hänvisning till att ett utlämnande kunde motverka landstingets säkerhetsåtgärder. Landstinget hade bland annat hävdat att en uppgift om antalet IT-incidentrapporter i sig kunde utlösa ett försök att testa myndighetens säkerhetssystem.
Kammarrätten konstaterade att incidentrapporter som anstalten Hinseberg ställt samman på ett visst sätt och med ett visst syfte för att sedan sända vidare till en enhet vid Kriminalvårdens huvudkontor var var allmänna handlingar. Domstolen hänvisade till RÅ 1998 ref. 30. Kriminalvården hade hävdat att handlingarna inte var allmänna eftersom Kriminalvården är en myndighet och handlingarna hade skickats inom denna.
Lunds universitet vägrade lämna ut kopior av incidentrapporter som hade kommit in till universitetets säkerhetshandläggare. Kammarrätten gav universitetet bakläxa för att det inte hade prövat om rapporterna kunde vara allmänna därför att de kommit in från utomstående eller från personal på fristående delar av universitet. Kammarrätten konstaterade också att vissa av rapporterna kunde vara allmänna på den grunden att de tillhörde ärenden som hade avslutats.