Informationssäkerhet i vård och omsorg – statens stöd och tillsyn (RiR 2024:6)
Vård- och omsorgsgivare hanterar stora mängder känsliga personuppgifter digitalt, till exempel i journaler. Staten ansvarar för att stödja deras informationssäkerhetsarbete och bedriver även tillsyn. Riksrevisionens granskning visar att statens arbete behöver bli mer effektivt.
Andra format
Sammanfattning
Vård- och omsorgsgivare hanterar stora mängder känsliga personuppgifter digitalt i många olika IT‑system och ansvarar för informationssäkerheten för dessa personuppgifter. Det innebär bland annat att personuppgifter ska behandlas på ett sätt som säkerställer tillräckligt skydd. Staten ska stödja och kontrollera vård- och omsorgsgivares arbete med informationssäkerhet så att det sker systematiskt och riskbaserat enligt författningsreglerade krav. Flera statliga myndigheter har i uppdrag att styra, stödja, följa upp och bedriva tillsyn av vårdens och omsorgens informationssäkerhet. Riksrevisionens granskning visar att de statliga insatserna inte är effektiva. De åtgärder som regeringen och myndigheterna vidtagit har inte varit tillräckliga för att stärka vårdens och omsorgens informationssäkerhetsarbete och därmed höja deras informationssäkerhetsnivå. En central brist är att myndigheternas stöd inte är anpassat efter deras behov och att tillsynen är begränsad.
Integritetsskyddsmyndighetens (IMY:s), Myndigheten för samhällsskydd och beredskaps (MSB:s) och Socialstyrelsens stöd är inte effektivt för att stärka informationssäkerheten inom vården och omsorgen. Myndigheternas stöd är generellt och ger främst grundläggande vägledning när en verksamhet ska bygga upp ett systematiskt och riskbaserat informationssäkerhetsarbete. Men stödet är inte tillräckligt anpassat efter vård- och omsorgsgivares behov så att det kan omsättas i det praktiska informationssäkerhetsarbetet. Det handlar exempelvis om frågor som berör säkerhetsåtgärder i avvägningar mellan informationssäkerhet, integritet och patientsäkerhet vilket kräver stöd vid tolkning av lagstiftningen. Myndigheterna har i stor utsträckning valt att inte göra rättsliga ställningstaganden för hur kraven i bestämmelserna som gäller för vården och omsorgen kan tolkas, vilket försvårar för vård- och omsorgsgivare att förstå vad som förväntas av dem.
Det är framför allt mindre kommuner som har begränsade resurser och svårt att rekrytera personal med den kompetens som krävs för att systematiskt arbeta med och säkerställa tillräcklig informationssäkerhet. Bristande stöd från de statliga myndigheterna kan därför leda till varierande skyddsnivåer för personuppgifter i olika delar av landet. Varken MSB, IMY eller Socialstyrelsen anser sig ha ansvar att tillgodose vårdens och omsorgens behov av specifikt stöd. Myndigheterna arbetar också i stuprör och har inte samverkat eller samordnat sina insatser när de utformar sitt stöd. Granskningen visar dessutom att MSB:s och IMY:s stöd vid inträffade IT‑incidenter är begränsat. Vård- och omsorgsgivare som drabbas av exempelvis cyberangrepp får sällan operativt stöd från MSB för att lindra effekterna av det inträffade.
Inspektionen för vård och omsorgs (IVO:s) och IMY:s tillsyn av vårdens och omsorgens informationssäkerhet bidrar inte till att stärka skyddet av personuppgifter på ett effektivt sätt. Sedan 2018, när dataskyddsförordningen och lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen) trädde i kraft, har IMY och IVO genomfört få tillsynsärenden av vårdgivare och inga alls av omsorgsgivare. Dessutom har tillsynen sällan omfattat alla delar av en verksamhets informationssäkerhet. IVO har också bedrivit begränsad tillsyn enligt NIS-lagen, vilket innebär att myndigheten inte fullt ut har granskat den faktiska säkerheten i vårdgivarnas informationssystem och nätverk där personuppgifter hanteras. Sammantaget innebär detta att statens kontroll av vård- och omsorgsgivares informationssäkerhet och efterlevnad av förvaltningsenliga krav inte är effektiv. Det resulterar även i att de verksamheter som omfattas av tillsynen inte får tillräckligt med vägledning i hur de kan förbättra sitt informationssäkerhetsarbete. Dessutom är tillsynen bara delvis riskbaserad, vilket gör att det är svårt att bedöma om den fokuserar på verksamheter där den skulle ge störst nytta. IMY och IVO har inte följt upp tillsynsbesluten, och det är därför oklart om de granskade verksamheterna har åtgärdat de brister som identifierats vid tillsynen.
Regeringen har vidtagit få åtgärder för att stärka vårdens och omsorgens informationssäkerhetsarbete. Regeringen har inte tydligt fastställt ansvars- och uppgiftsfördelningen mellan IMY, MSB och Socialstyrelsen när det gäller att utforma stöd som motsvarar vårdens och omsorgens behov. Regeringen har inte heller sett till att myndigheterna samordnar sitt arbete för att effektivt utforma stödet. Trots att omsorgen ofta hanterar lika känsliga personuppgifter som vården, har regeringen inte verkat tillräckligt för att omsorgsgivare ska omfattas av samma tydliga krav på säkerhetsåtgärder och systematiskt informationssäkerhetsarbete som vårdgivare, förutom när det gäller viss behörighetstilldelning och kontroll av behörigheterna.
Rekommendationer
Till regeringen
- Förtydliga Socialstyrelsens ansvar för att ta fram verksamhetsanpassat stöd till vårdens och omsorgens informationssäkerhetsarbete. Stödet bör utformas utifrån vård- och omsorgsgivares behov och i samråd med relevanta myndigheter. Stödet kan bland annat innebära att:
- identifiera sektorsspecifika risker och sårbarheter för informationssäkerhet.
- ge exempel på lämpliga organisatoriska och tekniska säkerhetsåtgärder för informationssäkerhet.
- ge stöd och vägledning i hur bestämmelserna för skydd av personuppgifter bör tolkas i generella fall.
- Utred hur omsorgsgivare fullt ut kan omfattas av motsvarande bestämmelser för skydd av personuppgifter som vårdgivare.
- Säkerställ att omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.
Till Inspektionen för vård och omsorg
- Bedriv tillsyn som granskar om vårdgivare faktiskt uppfyller NIS-lagens samtliga krav på säkerhet i nätverk och informationssystem.
- Utveckla arbetet med riskanalyser så att tillsynen i större utsträckning inriktas mot områden där bristerna i informationssäkerhet är som störst.
- Utveckla uppföljningen av tillsynsbeslut för att säkerställa att tillsynen får avsedd effekt.
Till Integritetsskyddsmyndigheten
- Effektivisera handläggningen av klagomåls- och tillsynsärenden och frigör därigenom resurser för att bedriva mer riskbaserad tillsyn.
- Utveckla arbetet med riskanalyser så att tillsynen i större utsträckning inriktas mot områden där bristerna i informationssäkerhet är som störst.
- Utveckla uppföljningen av tillsynsbeslut för att säkerställa att tillsynen får avsedd effekt.
Sammanfattning på engelska
Information security in health and social care – central government support and supervision
Dela i sociala medier och via e-post
Kontakta oss
Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).