Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

1. Inledning

Avsnitt

1.1 Motiv till granskning

Regeringens mål är att Sverige ska bli bäst i världen på digitalisering av vård och omsorg till 2025.[1] Vården och omsorgen hanterar stora mängder känsliga personuppgifter digitalt i många olika IT‑system. Digitaliseringen innebär en stor utvecklings- och effektiviseringspotential[2] men medför också nya och förändrade typer av hot och risker.[3] För att främja digitaliseringen är det enligt riksdagen och regeringen viktigt att skydda patientens integritet.[4]

Regioner och kommuner ansvarar för informationssäkerheten inom vården och omsorgen. Det innebär att de ska vidta säkerhetsåtgärder för att skydda personuppgifter när de används, lagras och delas digitalt. Om informationen är felaktig, går förlorad, är otillgänglig eller inte skyddas från obehöriga kan det få allvarliga konsekvenser för individer. Det kan även skada förtroendet för digitala tjänster och minska tilliten till vården och omsorgen. Dessutom kan bristande informationssäkerhet bli kostsamt[5] och utgöra en risk för patientsäkerheten om sjukvårdspersonal inte har tillgång till nödvändig patientinformation.[6]

Det finns brister i regionernas och framför allt kommunernas informationssäkerhetsarbete, som är på en generellt låg nivå.[7] Myndigheten för samhällsskydd och beredskap (MSB) har bland annat konstaterat att säkerhetsåtgärder ofta implementeras av kommunerna utan att de föregåtts av riskanalyser och utan att följas upp.[8]

Flera myndigheter har i uppdrag att bedriva tillsyn och ge stöd till regionernas och kommunernas informationssäkerhetsarbete. Ansvaret är delat mellan myndigheterna. Regionerna och framför allt kommunerna uppges ha svårt att i praktiken tillämpa MSB:s stöd för informationssäkerhetsarbete i den egna verksamheten. De uppges också ha svårt att tolka bestämmelserna i dataskyddsförordningen och relevant nationell lagstiftning. Det råder också brist på kompetens inom informationssäkerhet, särskilt bland kommunerna.[9] MSB bedömer att många kommuner inte avsätter tillräckligt med resurser för att höja nivån i informationssäkerhetsarbetet. MSB:s egen uppföljning visar att myndigheten bland annat behöver förbättra sitt råd och stöd och sina utbildningsinsatser.[10] Det är också oklart vilket operativt stöd som vård- och omsorgsgivare får när allvarligare IT‑incidenter väl sker, såsom cyberangrepp.

De rättsliga bestämmelserna om informationssäkerhet för personuppgifter är omfattande och komplexa. Denna komplexitet, tillsammans med bristen på kompetens och resurser, ökar risken för att informationssäkerhetsarbetet inte bedrivs på ett systematiskt och enhetligt sätt och för att nivån på informationssäkerhet därmed avviker från vad som krävs utifrån skyddsbehovet inom vården och omsorgen.

Det är oklart hur Inspektionen för vård och omsorgs (IVO:s) och Integritetsskyddsmyndighetens (IMY:s) tillsyn har bedrivits. Statskontoret konstaterade 2020 att IMY hade avslutat få tillsynsärenden sedan 2015 och att tillsynen var delvis riskbaserad samt att handläggningstiderna är långa.[11]

Det förändrade säkerhetshetspolitiska läget och återkommande cyberangrepp mot regioner och kommuner har satt ytterligare fokus på riskerna med deras bristande informationssäkerhetsarbete. Riksrevisionen har mot bakgrund av detta granskat statens arbete för att stärka vårdens och omsorgens informationssäkerhet.

1.2 Övergripande revisionsfråga och avgränsningar

Den övergripande revisionsfrågan är: Är statens arbete för att stärka skyddet av personuppgifter som hanteras digitalt inom vård och omsorg effektivt? För att skydda personuppgifter ska en verksamhet bedriva ett informationssäkerhetsarbete. Den övergripande granskningsfrågan besvaras med följande delfrågor:

  • Är myndigheternas arbete med att styra och stödja vårdens och omsorgens informationssäkerhetsarbete effektivt?
  • Är myndigheternas tillsyn av vårdens och omsorgens informationssäkerhet effektiv?

Granskningen omfattar regeringen, MSB, Socialstyrelsen, IMY och IVO. Med myndigheternas styrning avses huvudsakligen förordningar och föreskrifter som de har ansvar för att ta fram. Med stöd avses bland annat råd, vägledningar, stödmaterial, stödfunktioner och utbildningar som myndigheterna ansvarar för. Informationssäkerhet täcker in all information som en organisation hanterar. Granskningen fokuserar på informationssäkerhet för personuppgifter, som regioner och kommuner ansvarar för och hanterar digitalt inom vården och omsorg.

Med vård avses ansvaret för sådana insatser som bedrivs inom ramen för hälso- och sjukvårdslagen (2017:30), HSL. Omsorg, som är en del av socialtjänsten, definieras i granskningen som ansvaret för insatser till äldre personer och personer med funktionsnedsättning. Med vårdgivare avses i granskningen den som bedriver vård enligt HSL.[12] Med omsorgsgivare avses den som utför insatser för äldre personer eller personer med funktionsnedsättning.[13] Vård- och omsorgsgivarna kan vara en statlig myndighet, region, kommun, annan juridisk person eller en enskild näringsidkare. Vi har i granskningen särskilt fokuserat på verksamhet som bedrivs i regional eller kommunal regi.

Granskningen omfattar inte länsstyrelsernas stöd till kommuner i deras kontinuitetsarbete.[14] Granskningen omfattar heller inte det grundläggande ansvar inför och under fredstida kriser och höjd beredskap som åvilar kommuner och regioner, till exempel vad gäller upprätthållandet av kritisk infrastruktur.[15] Vidare omfattar inte granskningen informationssäkerhet enligt säkerhetsskyddslagen (2018:585) eller Polismyndighetens insatser.[16]

1.3 Bedömningsgrunder

För att bedöma om de statliga insatserna för att stärka skyddet av personuppgifter inom vård och omsorg är effektiva utgår vi från bedömningsgrunder, som är de kriterier som vi tillämpar för att värdera våra iakttagelser.

En övergripande utgångspunkt för Riksrevisionens bedömning av de statliga insatserna är myndigheternas uppdrag att utfärda föreskrifter, ge stöd och bedriva tillsyn av vård- och omsorgsgivares informationssäkerhet för personuppgifter. Flera författningar ställer krav på informationssäkerhet hos såväl regionala och kommunala vård- och omsorgsgivare som enskilda.

De övergripande målen för hälso- och sjukvården och socialtjänsten är att vården och omsorgen ska vara jämlik och av god kvalitet.[17] För att uppnå dessa mål har riksdag och regering bland annat möjliggjort ökad digital delning av personuppgifter inom och mellan vård- och omsorgsgivare.[18] Vid införandet av patientdatalagen (2008:355) (PDL) ansåg riksdagen att det är mycket viktigt att skydda patientens integritet eftersom detta är avgörande för om patienten kommer att ge samtycke till att personuppgifter hanteras och delas i system med en digitalt sammanhållen journal. Enligt riksdagen måste skyddet av patientens integritet alltid komma i första rummet.[19] Regeringen har, med instämmande av riksdagen, i olika sammanhang betonat vikten av ett långsiktigt och metodiskt arbete som möjliggör för verksamhetens ledning att systematiskt styra informationssäkerheten.[20]

Granskningen utgår från att personuppgifter ska hanteras och skyddas så att obehöriga inte får tillgång till dem och att den personliga integriteten för de registrerade inte äventyras på annat sätt.[21] Flertalet uppgifter omfattas dessutom av bestämmelser om tystnadsplikt och sekretess.[22] Informationssäkerhet är en förutsättning för en säker hantering av personuppgifter, som bland annat framgår av artikel 32 i dataskyddsförordningen. Ett informationssäkerhetsarbete som är välavvägt och anpassat efter verksamhetens behov leder till ett kostnadseffektivt skydd och till att säkerhetsincidenter undviks.[23] För att åstadkomma detta behöver regioner och kommuner, enligt den nationella strategin för samhällets informations- och cybersäkerhet, bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.[24] Det innebär bland annat att de behöver utgå från kunskap om sårbarheter och införa de mest angelägna säkerhetsåtgärderna. Myndigheterna har i uppdrag att bedriva tillsyn och ge stöd till regioners och kommuners informationssäkerhetsarbete.

Enligt regeringen ska de statliga myndigheterna samordna sina stödjande insatser för systematiskt informationssäkerhetsarbete. För att åstadkomma detta utgår vi från att myndigheterna samverkar och utbyter kunskap i syfte att styra, stödja och utöva tillsyn av informationssäkerheten i vården och omsorgen på ett tydligt och samordnat sätt.[25] Krav på myndighetssamverkan uttrycks också i de rättsliga bestämmelserna som styr myndigheterna.[26]

Regeringens styrning och uppföljning av berörda myndigheters resultat och verksamhet är viktig i sammanhanget. Regeringen understryker att styrningen av statsförvaltningen ska vara långsiktig, strategisk, helhetsinriktad, sammanhållen, verksamhetsanpassad och tillitsbaserad. Detaljstyrning och onödig administration ska undvikas.[27] Vi utgår från att regeringen följer upp hur myndigheternas arbete med att stödja och bedriva tillsyn av vårdens och omsorgens informationssäkerhet fungerar och vidtar lämpliga åtgärder vid behov.

Utifrån MSB:s, IMY:s, IVO:s och Socialstyrelsens uppdrag har vi operationaliserat våra bedömningsgrunder för att kunna besvara den övergripande revisionsfrågan och delfrågorna. Om de angivna kriterierna inte är uppfyllda minskar sannolikheten för att statens samlade stöd och tillsyn ska fungera effektivt.

1.3.1 Operationaliserade bedömningsgrunder för delfråga 1

För att MSB:s, IMY:s och Socialstyrelsens styrning av och stöd till regioners och kommuners informationssäkerhetsarbete inom vården och omsorgen ska stärka deras förmåga att bedriva informationssäkerhetsarbete på ett effektivt sätt ska myndigheterna:

  • ta fram föreskrifter som närmare preciserar aktuell lagstiftning[28]
  • ha kompetens, effektiva processer och arbetssätt för att ta fram och utveckla stöd
  • anpassa stödet efter vårdens och omsorgens olika behov, vilket bland annat innebär att stödet ska möjliggöra en säker hantering av personuppgifter enligt författningsreglerade krav
  • se till att stödet är tydligt och lättillgängligt,[29] vilket bland annat innebär att stödet är samlat och uppdaterat
  • samverka med varandra, och vid behov med andra aktörer, för att utbyta kunskap så att stödet är anpassat efter vårdens och omsorgens olika behov
  • följa upp[30] och utvärdera[31] hur det egna stödet bidrar till att stärka deras informationssäkerhetsarbete, i syfte att kontinuerligt utveckla stödet.

1.3.2 Operationaliserade bedömningsgrunder för delfråga 2

IMY och IVO ska bedriva tillsyn för att säkerställa att vård- och omsorgsgivarnas informationssäkerhetsarbete bedrivs på ett sätt som skyddar personuppgifter i enlighet med kraven i lagstiftningen. För att tillsyn av vård- och omsorgsgivarnas informationssäkerhet ska vara effektiv ska myndigheterna:

  • ha den kompetens, den organisation och de verktyg som krävs för att utföra den planerade tillsynen[32]
  • planera och genomföra riskbaserad tillsyn med utgångspunkt i egna riskanalyser för att tillsynen ska ge störst nytta[33] (Analysen för inriktning av tillsynen bör omfatta en sammanvägd bedömning av var riskerna för väsentliga brister för informationssäkerhet är störst samt var bristerna riskerar att få störst konsekvenser.[34] En riskbaserad tillsyn förutsätter att myndigheten inhämtar tillräckligt med information om tillsynsobjekten och utarbetar bra processer och metoder för att göra riskanalyser.[35])
  • handlägga tillsynsärenden effektivt och ha rimliga handläggningstider; enligt förvaltningslagen ska ett ärende handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts[36]
  • följa upp tillsynsbesluten för att säkerställa att tillsynen fått avsedd effekt, vilket bland annat innebär att verksamheten har vidtagit åtgärder för att åtgärda brister i informationssäkerhetsarbetet
  • ge råd och allmän vägledning vid tillämpningen av lagstiftningen inom ramen för sin tillsyn[37] och förmedla kunskap som erhålls genom tillsynen
  • samverka med varandra så att tillsynen av informationssäkerhetsarbetet inom vård och omsorg ska bli samordnad.

1.4 Metod och genomförande

Vi har använt oss av intervjuer och dokumentstudier. Vi har genomfört 21 intervjuer med tjänstepersoner på IMY, IVO, MSB och Socialstyrelsen som arbetar med att utforma och ge stöd, och med företrädare för Sveriges Kommuner och Regioner (SKR).[38] Skriftliga frågor har besvarats av IMY, IVO, MSB och Socialstyrelsen samt Försvarsdepartementet, Justitiedepartementet och Socialdepartementet. Vi har tagit del av underlag från berörda myndigheter och avrapporteringar inom informationssäkerhetsområdet till regeringen.

För att granska i vilken utsträckning MSB:s, IMY:s och Socialstyrelsens stöd motsvarar regioners och kommuners olika behov av att stärka informationssäkerhetsarbetet inom vården och omsorg har vi genomfört intervjuer med företrädare för två regioner och sex kommuner i två län.[39] Vi har också granskat vilket stöd kommunerna fått från myndigheterna vad gäller hantering av pågående IT‑incidenter, till exempel cyberangrepp. För detta ändamål har vi även intervjuat en kommun som varit utsatt för cyberangrepp.

Vi har tagit del av och analyserat dokumentation med relevans för de statliga myndigheternas uppdrag att ge stöd och utöva tillsyn av vård- och omsorgsgivares informationssäkerhet. Vi har närmare undersökt vilket stöd som finns tillgänglig, generellt och för vård- och omsorgsgivare, och hur stödinsatserna tagits fram och utformats av myndigheterna. Vi har också analyserat inkomna frågor som berör informationssäkerhet från regioner och kommuner och myndigheternas svar på dessa.[40] Undersökningen har kompletterats med intervjuer med företrädare för myndigheterna. Vi har också haft samtal med företrädare för SKR för att få en bild av deras stöd till kommuners och regioners informationssäkerhetsarbete. På motsvarande sätt har tillsynsmyndigheternas insatser undersökts. Vi har bland annat gått igenom och analyserat underlag till arbetet med riskanalyser, tillsynspolicyer, tillsynsplaner, statistik om genomförd tillsyn av vård- och omsorgsgivare 2018–2023, tillsynsbeslut, processbeskrivningar och handläggningstider.

Vi har valt att undersöka regioners och kommuners erfarenheter av det statliga stödet och tillsynen i de två största länen. I länen bor 40 procent av Sveriges befolkning, vilket innebär att regionerna och kommunerna i de två länen använder, lagrar och delar en stor del av personuppgifterna i Sverige. Vi har tagit hänsyn till kommunstorleken i regionen så att urvalet omfattar små-, medelstora- och stora kommuner. Intervjuerna inkluderade frågor om bland annat statens styrning, roll- och ansvarsfördelning, tillsyn av deras informationssäkerhetsarbete och stöd för informationssäkerhetsarbetet. Vi har också undersökt vilka behov av stöd som de har för att kunna stärka sitt informationssäkerhetsarbete.

Vi har även undersökt stödet från MSB vid en pågående IT‑incident. Vi har därför intervjuat företrädare för en mindre kommun som utsattes för ett omfattande cyberangrepp under 2022. En mer utförlig beskrivning av urvalet finns i bilaga 2.

Granskningen har genomförts av en projektgrupp bestående av Nedim Colo (projektledare) och Olof Widmark. Henrik Segerpalm deltog i granskningen fram till juni 2023. Jurist Daniel Lindén Remstam, jurist Filippa Drakenmark och Arvid Åkerberg (praktikant) har också bidragit i arbetet. En referensperson har lämnat synpunkter på granskningsupplägg och på ett utkast till granskningsrapporten: Marika Ericson, jur.dr i folkrätt och biträdande prefekt vid Centrum för operativ juridik och folkrätt, Försvarshögskolan. Företrädare för Regeringskansliet (Försvarsdepartementet, Justitiedepartementet och Socialdepartementet), IMY, IVO, MSB och Socialstyrelsen har fått tillfälle att faktagranska och i övrigt lämna synpunkter på ett utkast till granskningsrapporten.

1.5 Disposition

Kapitel 2 är ett bakgrundskapitel som omfattar en beskrivning av informationssäkerhet samt de statliga myndigheternas uppdrag och uppgifter och regionernas och kommunernas brister i informationssäkerhetsarbete. I kapitel 3 redogör vi för statens arbete med att styra och stödja vård- och omsorgsgivarnas informationssäkerhetsarbete. I kapitel 4 redogör vi för myndigheternas tillsyn av vård- och omsorgsgivarnas informationssäkerhetsarbete. Kapitel 5 innehåller slutsatser och rekommendationer. Till rapporten hör också två bilagor.

  • [1] Regeringsbeslut S2020/00574/FS.
  • [2] Prop. 2020/21:1 Utgiftsområde 9, s. 40.
  • [3] SOU 2015:23, Informations- och cybersäkerhet i Sverige, s. 64.
  • [4] Prop. 2007/08:126, bet 2007/08:SoU16, s. 10, rskr. 2007/08:207.
  • [5] SVT, ”Miljonkostnader för Kalix kommun efter IT‑attacken”, hämtad 2022-01-14.
  • [6] SOU 2022:6, s. 455–456.
  • [7] Framgår bland annat av MSB:s och Socialstyrelsens undersökningar. Se avsnitt 2.4.
  • [8] MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022, s. 54 f.
  • [9] Intervju med företrädare för SKR, 2022-09-07.
  • [10] MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022, s. 19, 30–32.
  • [11] Statskontoret, Myndighetsanalys av Datainspektionen, 2020, s. 31, 38.
  • [12] Enligt 2 kap. 3 § hälso- och sjukvårdslagen (2017:30) är en vårdgivare en statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.
  • [13] Enligt 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation är en omsorgsgivare en myndighet i kommun eller region som har ansvar för eller utför insatser för äldre personer eller personer med funktionsnedsättning, samt andra juridiska personer eller enskilda näringsidkare som utför sådana insatser. I granskningen använder vi begreppet i en allmän mening för verksamheter som bedriver omsorg om äldre och personer med funktionsnedsättning inom ramen för Socialtjänstlagen.
  • [14] 4 § förordningen (2017:870) om länsstyrelsernas krisberedskap och uppgifter inför och vid höjd beredskap.
  • [15] Se lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Jfr. aktuell översyn av bestämmelserna i Dir. 2023:51.
  • [16] Det vill säga information som rör säkerhetsskyddsklassificerade uppgifter eller utgör en säkerhetskänslig verksamhet. Det skulle kunna handla om högspecialiserade vårdtjänster som efterfrågas i hela landet men som endast utförs av en vårdgivare.
  • [17] 3 kap. 1 § hälso- och sjukvårdslagen (2017:30) och 1 kap. 1 § och 3 kap. 3 § socialtjänstlagen (2001:453).
  • [18] Prop. 2021/22:177, bet. 2021/22:SoU30, s. 20, rskr. 2021/22:381 och prop. 2007/08:126, bet 2007/08:SoU16, s. 18, rskr. 2007/08:207.
  • [19] Prop. 2007/08:126, bet 2007/08:SoU16, s. 19, rskr. 2007/08:207.
  • [20] Prop. 2017/18:205, s. 39 f., Skr. 2016/17:213, s. 8 och regeringsbeslut Ju2019/03058/SSK.
  • [21] Se till exempel artikel 5.1 f dataskyddsförordningen som anger att den som behandlar personuppgifter säkerställa lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.
  • [22] 25 kap. respektive 26 kap. offentlighets- och sekretesslagen (2009:400), OSL.
  • [23] MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022, s. 22. Se även MSB, Metodstöd för systematiskt Informationssäkerhetsarbete, 2021, s. 6.
  • [24] Skr. 2016/17:213 s. 8, bet. 2017/18:FöU4, s. 15, rskr 2017/18:142 och prop. 2017/18:205, s. 39.
  • [25] Skr. 2016/17:213 s. 8-11, bet. 2017/18:FöU4, s. 8, rskr 2017/18:142.
  • [26] Se samverkansskyldighet i 8 § förvaltningslagen (2017:900), 11 b § förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap, 11 § förordningen (2015:284) med instruktion för Socialstyrelsen. Även tillsynsmyndigheterna omfattas av samverkan och kunskapsutbyte med de normerande och stödjande myndigheterna, se förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg, Artikel 57 g dataskyddsförordningen. 21 § förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.
  • [27] Prop. 2020/21:1, utgiftsområde 2, s. 58, bet. 2020/21:FiU2, rskr. 2020/21:150.
  • [28] Se bilaga 1 för rättsliga bestämmelser för informationssäkerhet för personuppgifter.
  • [29] Skr. 2016/17:213, s. 10, bet. 2017/18:FöU4, rskr 2017/18:142.
  • [30] En uppföljning svarar på vad som har hänt och om det har gått enligt plan. Uppföljning kan fånga in resultat eller i ett tidigt skede indikera effekter i relation till ett uppsatt mål.
  • [31] Utvärderingen bygger ofta på resultat från uppföljningen och syftar vanligen till att förstå och förklara prestationer och deras effekter.
  • [32] Prop. 2012/13:20, s. 94 f., bet. 2012/13:SoU5, s. 9, rskr. 2012/13:116 och artikel 52.4 dataskyddsförordningen.
  • [33] 1 och 2 §§ förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg och IMY 2021, IMY:s policy för tillsyn. Se även Statskontoret 2020, På väg mot en bättre tillsyn? En studie av den statliga tillsynens utveckling.
  • [34] Se även Statskontoret, På väg mot en bättre tillsyn?, 2020, s. 73–74.
  • [35] Riksrevisionen, Statens tillsyn över apotek och partihandel med läkemedel, 2022, s. 31.
  • [36] 9 § förvaltningslagen (2017:900).
  • [37] 19 § förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster och artikel 57 b, c, v och artikel 58 3 a dataskyddsförordningen.
  • [38] Kontaktpersonerna vid respektive myndighet har valt ut medarbetare och chefer som har deltagit vid intervjuerna.
  • [39] Regionerna och kommunerna har anonymiserats i noterna i granskningsrapporten.
  • [40] Se bilaga 2 för mer utförlig beskrivning av vår genomgång av frågor och svar.

Uppdaterad: 18 april 2024

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?