Informationssäkerhet i vård och omsorg – statens stöd och tillsyn (RiR 2024:6)

Integritetsskyddsmyndighetens (IMY:s), Myndigheten för samhällsskydd och beredskaps (MSB:s) och Socialstyrelsens stöd är inte effektivt för att stärka informationssäkerheten inom vården och omsorgen. Myndigheternas stöd är generellt och ger främst grundläggande vägledning när en verksamhet ska bygga upp ett systematiskt och riskbaserat informationssäkerhetsarbete. Men stödet är inte tillräckligt anpassat efter vård- och omsorgsgivares behov så att det kan omsättas i det praktiska informationssäkerhetsarbetet. Det handlar exempelvis om frågor som berör säkerhetsåtgärder i avvägningar mellan informationssäkerhet, integritet och patientsäkerhet vilket kräver stöd vid tolkning av lagstiftningen. Myndigheterna har i stor utsträckning valt att inte göra rättsliga ställningstaganden för hur kraven i bestämmelserna som gäller för vården och omsorgen kan tolkas, vilket försvårar för vård- och omsorgsgivare att förstå vad som förväntas av dem.

Det är framför allt mindre kommuner som har begränsade resurser och svårt att rekrytera personal med den kompetens som krävs för att systematiskt arbeta med och säkerställa tillräcklig informationssäkerhet. Bristande stöd från de statliga myndigheterna kan därför leda till varierande skyddsnivåer för personuppgifter i olika delar av landet. Varken MSB, IMY eller Socialstyrelsen anser sig ha ansvar att tillgodose vårdens och omsorgens behov av specifikt stöd. Myndigheterna arbetar också i stuprör och har inte samverkat eller samordnat sina insatser när de utformar sitt stöd. Granskningen visar dessutom att MSB:s och IMY:s stöd vid inträffade IT‑incidenter är begränsat. Vård- och omsorgsgivare som drabbas av exempelvis cyberangrepp får sällan operativt stöd från MSB för att lindra effekterna av det inträffade.

Inspektionen för vård och omsorgs (IVO:s) och IMY:s tillsyn av vårdens och omsorgens informationssäkerhet bidrar inte till att stärka skyddet av personuppgifter på ett effektivt sätt. Sedan 2018, när dataskyddsförordningen och lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen) trädde i kraft, har IMY och IVO genomfört få tillsynsärenden av vårdgivare och inga alls av omsorgsgivare. Dessutom har tillsynen sällan omfattat alla delar av en verksamhets informationssäkerhet. IVO har också bedrivit begränsad tillsyn enligt NIS-lagen, vilket innebär att myndigheten inte fullt ut har granskat den faktiska säkerheten i vårdgivarnas informationssystem och nätverk där personuppgifter hanteras. Sammantaget innebär detta att statens kontroll av vård- och omsorgsgivares informationssäkerhet och efterlevnad av förvaltningsenliga krav inte är effektiv. Det resulterar även i att de verksamheter som omfattas av tillsynen inte får tillräckligt med vägledning i hur de kan förbättra sitt informationssäkerhetsarbete. Dessutom är tillsynen bara delvis riskbaserad, vilket gör att det är svårt att bedöma om den fokuserar på verksamheter där den skulle ge störst nytta. IMY och IVO har inte följt upp tillsynsbesluten, och det är därför oklart om de granskade verksamheterna har åtgärdat de brister som identifierats vid tillsynen.

Regeringen har vidtagit få åtgärder för att stärka vårdens och omsorgens informationssäkerhetsarbete. Regeringen har inte tydligt fastställt ansvars- och uppgiftsfördelningen mellan IMY, MSB och Socialstyrelsen när det gäller att utforma stöd som motsvarar vårdens och omsorgens behov. Regeringen har inte heller sett till att myndigheterna samordnar sitt arbete för att effektivt utforma stödet. Trots att omsorgen ofta hanterar lika känsliga personuppgifter som vården, har regeringen inte verkat tillräckligt för att omsorgsgivare ska omfattas av samma tydliga krav på säkerhetsåtgärder och systematiskt informationssäkerhetsarbete som vårdgivare, förutom när det gäller viss behörighetstilldelning och kontroll av behörigheterna.