Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

2. Skyddet av personuppgifter inom vården och omsorgen

I detta bakgrundskapitel beskriver vi dels de bestämmelser som reglerar skyddet av personuppgifter i vården och omsorgen, dels det informationssäkerhetsarbete som syftar till att åstadkomma ett adekvat skydd för uppgifterna. Vi beskriver också de statliga myndigheternas uppdrag. Kapitlet avslutas med en sammanställning av de brister i regionernas och kommunernas informationssäkerhetsarbete som myndigheterna har identifierat.

Avsnitt

2.1 Krav på skydd av personuppgifter

Flera olika bestämmelser reglerar skyddet av personuppgifter och ställer krav på regioner, kommuner och vård- och omsorgsgivare att bedriva ett informationssäkerhetsarbete som ska säkerställa skyddet av personuppgifter. Se bilaga 1 för mer utförlig beskrivning av bestämmelserna.

Skyddet av personuppgifter utgår från dataskyddsförordningen som trädde i kraft 2018. EU:s dataskyddsförordning är direkt tillämplig och har företräde framför nationell lagstiftning. Kärnan i förordningen är att skydda personers integritet och upprätthålla deras fri- och rättigheter.[41] Ett syfte är också att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU. Dataskyddsförordningen ställer krav på att personuppgiftsansvariga ska kunna visa att förordningen följs. En av principerna rör kravet på säkerhet[42] och innebär att personuppgifter ska behandlas på ett sätt som säkerställer lämpligt skydd, till exempel så att inte obehöriga får tillgång till personuppgifter och att de inte förloras eller förstörs. Skydd ska uppnås genom användning av tekniska eller organisatoriska[43] säkerhetsåtgärder som är lämpliga i förhållande till riskerna som behandlingen medför.[44]

I Sverige kompletteras dataskyddsförordningen av dataskyddslagen[45] och lagstiftning för olika områden vilka preciserar den övergripande lagstiftningen. När det exempelvis gäller individinriktad patientverksamhet som innefattar vård, undersökning eller behandling gäller PDL för personuppgiftsbehandlingen. I omsorgen preciseras den övergripande lagstiftningen dels av lagstiftning som gäller för hela socialtjänstens verksamhet, dels av lagstiftning som bara gäller omsorg. Både vården och omsorgen hanterar känsliga personuppgifter men regleringen för skyddet av personuppgifter är mindre preciserad i omsorgen.[46] (Se avsnitt 3.6.4.)

Bestämmelser som reglerar skyddet av personuppgifter i vården och omsorgen

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Offentlighets- och sekretesslagen (2009:400), patientdatalagen (2008:355), patientdataförordningen (2008:360) och Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården. Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. Lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

Vårdgivares informationssäkerhet i nätverk och IT‑system: Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen). Förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.

MSB:s föreskrifter (MSBFS 2021:9) om anmälan och identifiering av leverantörer av samhällsviktiga tjänster, MSB:s föreskrifter och allmänna råd (MSBFS 2018:8) om informationssäkerhet för leverantörer av samhällsviktiga tjänster, och MSB:s föreskrifter och allmänna råd (MSBFS 2018:9) om rapportering av incidenter för leverantörer av samhällsviktiga tjänster.

2.2 Ett systematiskt arbete med informationssäkerhet säkerställer att information skyddas

Kärnan i informationssäkerhet handlar om att styra och skydda information utifrån aspekterna konfidentialitet, riktighet och tillgänglighet så att rätt person har tillgång till rätt information vid rätt tillfälle.[47]

Informationssäkerhet innebär bevarande av konfidentialitet (endast behöriga får ta del av informationen), riktighet (att informationen inte är manipulerad) och tillgänglighet (att informationen finns när någon behörig efterfrågar den) hos information utifrån dess värde.[48]

Konfidentialitet är resultatet av en bedömning, ibland med stöd i lagar och andra krav.[49] Kraven på konfidentialitet grundar sig bland annat på bestämmelser om sekretess och dataskydd och till exempel PDL. Konfidentialiteten kan förändras över tid.

Informationssäkerhet är en förutsättning för en säker hantering av personuppgifter. För att säkerställa skydd av personuppgifter i verksamheterna behöver regioner och kommuner bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.[50] Ett systematiskt informationssäkerhetsarbete är ett arbetssätt för att identifiera krav på och införa säkerhetsåtgärder som ger tillräckligt skydd för informationen utifrån ovan nämnda aspekter.[51] Säkerhetsåtgärder kan vara organisatoriska, personalrelaterade, fysiska eller tekniska. Det innebär att en verksamhet ska vidta de åtgärder som säkerställer att informationen skyddas, oavsett var den befinner sig och oavsett om den hanteras av människor eller i informationssystem. Verksamheten ska också kontinuerligt följa upp och utvärdera arbetet samt anpassa skyddet utifrån externa krav på organisationen, såsom lagstiftning, organisationens behov och risker. Centralt i arbetet är att klassa[52] informationen utifrån vad som kan hända om informationens konfidentialitet, riktighet och tillgänglighet inte upprätthålls.[53]

Kommuner och regioner omfattas inte av samma uttryckliga krav på att bedriva ett systematiskt informationssäkerhetsarbete som exempelvis statliga myndigheter.[54] Inom hälso- och sjukvården finns det däremot krav på vårdgivare att bedriva ett systematiskt informationssäkerhetsarbete i NIS-lagen.[55] NIS-lagen omfattar vårdgivare över en viss storlek.[56] Det saknas därmed uttryckliga rättsliga krav på mindre vårdgivare och omsorgsgivare att bedriva ett systematiskt informationssäkerhetsarbete.

2.3 De statliga myndigheternas uppdrag och ansvar

Flera statliga myndigheter har i uppdrag att styra, stödja, följa upp och bedriva tillsyn av vårdens och omsorgens informationssäkerhet. MSB har ett övergripande uppdrag att samordna arbetet med informationssäkerhet i samhället och ge stöd till verksamheter i alla sektorer. IMY ska ge vägledning till alla verksamheters arbete med att skydda personuppgifter.

Socialstyrelsen har som sektorsansvarig myndighet för hälso- och sjukvård och socialtjänst ett generellt ansvar för stöd och kunskapsutveckling inom sitt ansvarsområde. Tillsynen av informationssäkerhet i vården och omsorgen delas mellan IMY och IVO. IMY ska bedriva tillsyn av behandlingen av personuppgifter inom alla sektorer. IVO ska bedriva tillsyn av informationssäkerhet i vården och omsorgen utifrån gällande bestämmelser inom dessa områden. I följande avsnitt beskriver vi myndigheternas uppdrag närmare.

2.3.1 MSB ska normera och stödja informationssäkerhet inom alla sektorer

MSB har ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret.[57] MSB ska stödja och samordna arbetet med samhällets informationssäkerhet. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till bland annat kommuner och regioner. MSB ska också bedöma omvärldsutvecklingen inom området.[58]

MSB har flera föreskriftsrätter som gäller informationssäkerhet. MSB ska meddela föreskrifter om bland annat vilka tjänster som är samhällsviktiga och om systematiskt och riskbaserat informationssäkerhetsarbete enligt NIS-lagen.[59] MSB ska även ge råd och stöd till IVO och Socialstyrelsen när de tar fram föreskrifter om säkerhetsåtgärder till NIS-lagen.[60] MSB ska också meddela föreskrifter om krisberedskap, vilka ställer krav på statliga myndigheters informationssäkerhetsarbete.[61]

MSB är enligt NIS-förordningen Sveriges nationella CSIRT-enhet (Computer Security Incident Response Team) för hantering av incidenter som rapporteras enligt NIS-lagen.[62] MSB ska ta emot incidentrapporter från leverantörer av samhällsviktiga tjänster och tillgängliggöra informationen för IVO och Socialstyrelsen.[63] MSB ansvarar också för Sveriges CERT-funktion (Computer Emergency Response Team) som har i uppgift att stödja samhället i arbetet med att förebygga och hantera IT‑incidenter. MSB ska agera skyndsamt vid IT‑incidenter genom att sprida information om incidenter och hot till bland annat regioner och kommuner i förebyggande syfte. När en verksamhet drabbas av IT‑incidenter ska MSB vid behov arbeta med samordning av åtgärder och medverka i det arbete som krävs för att avhjälpa eller lindra effekterna av det inträffade. MSB ska återrapportera till berörda aktörer i samband med att en IT‑incident har rapporterats och samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet.[64]

MSB ska rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder inom olika nivåer och områden i samhället. MSB ska också årligen lämna en rapport till regeringen med en sammanställning av de IT‑incidenter som rapporterats in till myndigheten[65] enligt NIS-lagen.[66]

2.3.2 IMY ska ge vägledning för skydd av personuppgifter och utöva tillsyn inom alla sektorer

IMY:s uppdrag är att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter, och för att underlätta det fria flödet av sådana uppgifter inom EU.[67] Uppdraget innebär att dels vidta åtgärder för att förebygga överträdelser av förordningen och genom tillsyn se till att förordningen följs, dels säkerställa att man varken ställer upp högre eller lägre krav på aktörerna än motsvarande systermyndigheter inom EU.

I likhet med andra tillsynsmyndigheter enligt dataskyddsförordningen regleras IMY:s uppgifter i artikel 57.1 i dataskyddsförordningen. IMY har i uppdrag att ge vägledning till verksamheter i alla samhällssektorer, offentlig som privat verksamhet, när det gäller att skydda personuppgifter vid behandling.[68] Inom ramen för det vägledande uppdraget ska IMY vidta åtgärder för att höja verksamheters medvetenhet om sina skyldigheter enligt dataskyddsförordningen.[69] Syftet är att verksamheter ska behandla och skydda personuppgifter på ett korrekt sätt enligt dataskyddsförordningen och kompletterande lagstiftning, till exempel PDL.[70] IMY ska också ge råd till en verksamhet vid behandling av personuppgifter[71] som den personuppgiftsansvarige bedömt kan leda till en hög risk för de registrerade efter genomförd konsekvensbedömning (så kallat förhandssamråd).[72] IMY ska även delta i och bidra till Europeiska dataskyddsstyrelsens arbete. Syftet är bland annat att ta fram vägledning till verksamheter.[73]

IMY är även mottagare av anmälningspliktiga personuppgiftsincidenter i organisationer som hanterar personuppgifter, bland annat vård- och omsorgsgivare i regioner och kommuner.[74]

IMY är tillsynsmyndighet för behandling av personuppgifter enligt dataskyddsförordningen[75] och kompletterande lagstiftning. IMY ska bedriva tillsyn över hur exempelvis vård- och omsorgsgivarna tillämpar dataskyddsbestämmelser,[76] vilket innebär att IMY till exempel kan kontrollera att de vidtar säkerhetsåtgärder för att skydda känsliga personuppgifter.

IMY ska vara oberoende i utförandet av sina uppgifter och i utövandet av sina befogenheter i enlighet med dataskyddsförordningen.[77] Kravet på att IMY ska vara oberoende innebär både att myndigheten ska vara fristående och självständig i förhållande till den verksamhet som den är satt att övervaka och att det inte får förekomma någon påverkan eller några instruktioner, direkt eller indirekt, från något annat håll, såsom från staten.[78] IMY:s oberoende innebär dock inte att dess uppgifter inte kan underkastas kontroll- och övervakningsmekanismer eller bli föremål för domstolsprövning.[79]

2.3.3 Socialstyrelsen ska normera och stödja vårdens och omsorgens informationssäkerhet

Socialstyrelsen är den kunskapsstyrande myndigheten för verksamhet som rör hälso- och sjukvård och socialtjänst. Socialstyrelsens ansvar gäller i den utsträckning sådana frågor inte ska handläggas av någon annan myndighet. Socialstyrelsen ansvarar för föreskrifter och allmänna råd inom sitt verksamhetsområde. Socialstyrelsen ansvarar också för kunskapsutveckling och kunskapsförmedling inom sitt område.[80]

Socialstyrelsen får meddela föreskrifter om verkställigheten av PDL.[81] De föreskrifterna omfattar hälso- och sjukvårdens informationshantering, det vill säga vårdgivares behandling och skydd av individers personuppgifter. Socialstyrelsen får även meddela föreskrifter om socialtjänstens behandling och dokumentation av individers personuppgifter.[82] Socialstyrelsen får också meddela föreskrifter enligt NIS-lagen om vårdgivarnas informationssäkerhet[83] och personuppgiftshantering enligt lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation som rör bland annat krav på säkerhetsåtgärder som ska gälla vid direktåtkomst eller annat elektroniskt utlämnande och tilldelning av behörighet för åtkomst till uppgifter.[84] Socialstyrelsen är även mottagare av IT‑incidentrapportering från leverantörer inom hälso- och sjukvård.[85]

2.3.4 IVO ska bedriva tillsyn av vårdens och omsorgens informationssäkerhet

IVO är tillsynsmyndighet för hälso- och sjukvård och omsorg. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. IVO:s tillsyn ska vara riskbaserad och bedrivas strategiskt och effektivt samt på ett enhetligt sätt inom landet.[86]

Sedan 1 augusti 2018 ansvarar IVO för tillsyn av informationssäkerhet i hälso- och sjukvården enligt NIS-lagen.[87] Tillsynsuppdraget omfattar tre områden: att identifiera och registrera de vårdgivare som omfattas av lagen[88], att ta emot incidentrapporter från vårdgivare och att bedriva tillsyn av vårdgivare. IVO ska utan dröjsmål delge MSB uppgifter om de vårdgivare som man identifierat omfattas av lagen.[89]

Tillsynen enligt NIS-lagen omfattar vårdgivarnas skyldighet att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende nätverk och informationssystem i syfte att uppnå en hög säkerhetsnivå. Det omfattar vårdgivarnas ansvar att ta fram riskanalyser och åtgärdsplaner, vidta ändamålsenliga och proportionerliga tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem samt vidta åtgärder för att förebygga och minimera verkningar av incidenter som kan påverka kontinuiteten i systemen.[90] IVO ska också inom ramen för tillsynen enligt NIS-lagen ge allmän vägledning i tillämpningen av lagen.[91]

IVO kan i sin tillsyn av vården och omsorgen även utgå från annan lagstiftning än NIS-lagen som berör skyddet av personuppgifter, såsom PDL och lagen om behandling av personuppgifter inom socialtjänsten. IVO ska samverka med andra berörda myndigheter i syfte att uppnå ett effektivt kunskaps- och erfarenhetsutbyte i arbetet med tillsyn, styrning med kunskap och regelgivning.[92] IVO ska delta i ett samarbetsforum för tillsynsmyndigheter enligt NIS-lagen med syfte att samordna tillsynen och åstadkomma en effektiv och likvärdig tillsyn.[93] IVO ska också samarbeta med IMY vid hantering av incidenter som även utgör personuppgiftsincidenter.[94]

IVO är liksom Socialstyrelsen mottagare av information om de IT‑incidenter som leverantörer inom hälso- och sjukvården enligt NIS-lagen ska rapportera till MSB.[95]

2.3.5 Överenskommelser mellan regeringen och SKR

SKR har inom ramen för överenskommelser med regeringen ett visst ansvar för att ge vården och omsorgen stöd för informationssäkerhet. SKR driver också nätverk för informationssäkerhet i regioner och kommuner,[96] och har tagit fram ett verktyg för klassificering av information som ska skyddas i vård och omsorg kallat Klassa.

Regeringen och SKR slöt i februari 2020 en överenskommelse[97] för att stödja kommunernas arbete med att införa välfärdsteknik i äldreomsorgen. Satsningen omfattade riktade medel och en samordnande stödfunktion och gällde från 2020 till 2022. Medlen för 2023 beviljades av regeringen efter en ansökan.[98] Av totalt 200 miljoner kronor per år gick cirka 17 miljoner kronor till SKR för att stödja kommunerna medan resten fördelades som statsbidrag till kommunerna. Inom denna överenskommelse skulle SKR stödja kommunernas arbete med att digitalisera äldreomsorgen och ge råd, stöd och vägledning i frågor om bland annat informationssäkerhet. Flera andra överenskommelser mellan regeringen och SKR omfattar indirekt informationssäkerhet.[99]

2.4 Brister i regioners och kommuners informationssäkerhet

Det finns sammantaget relativt god kunskap på nationell nivå om brister i regioners och kommuners informationssäkerhetsarbete. Flera myndigheter har i uppdrag att följa utvecklingen av informationssäkerhet och den incidentrapportering som verksamheter är skyldiga att göra.

2.4.1 Alla regioner och kommuner arbetar inte systematiskt med informationssäkerhet

Uppföljningar av informationssäkerhet visar att stora delar av den offentliga förvaltningen inte bedriver ett effektivt informationssäkerhetsarbete. Det gäller särskilt kommuner, även om spridningen mellan kommunerna är stor.

Enligt MSB arbetar stora delar av den offentliga förvaltningen inte systematiskt med informationssäkerhet. Det finns ett starkt fokus på att implementera säkerhetsåtgärder, men det finns brister i arbetet med att bedöma risker och implementera säkerhetsåtgärderna så att de ger tillräckligt skydd utifrån de identifierade riskerna. Dessutom är uppföljningen av införda säkerhetsåtgärder ofta otillräcklig.[100] IVO ger en liknande bild när det gäller vården. Vissa vårdgivare brister i att utföra och uppdatera riskanalyser samt upprätta åtgärdsplaner, särskilt vid uppdatering av journalsystem, vilket ökar risken för att de inte genomför tillräckliga säkerhetsåtgärder.[101]

Informationssäkerhetsarbetet är mest eftersatt i kommunerna. Exempelvis uppnådde 3 av 4 kommuner som deltog i MSB:s Infosäkkoll 2023 inte den mest grundläggande nivån i det systematiska informationssäkerhetsarbetet. (Se avsnitt 3.1.1 för mer om skattningsverktyg Infosäkkollen.) MSB har bedömt att en majoritet av kommunerna inte avsätter tillräckligt med resurser för informationssäkerhetsarbetet och att ledningarna sällan informerar sig om vilka övergripande informationssäkerhetsrisker kommunen har. En majoritet av kommunerna är dåligt förberedda om något allvarligt skulle hända. Men det finns stora skillnader mellan kommunerna.[102]

Det finns samtidigt tecken på en positiv utveckling enligt en undersökning från Socialstyrelsen. Exempelvis ökade andelen kommuner som har infört ledningssystem för informationssäkerhet från 43 till 49 procent mellan 2021 och 2023. Andelen kommuner som följt upp risker för informationssäkerhet i socialtjänsten ökade under samma period från 48 till 60 procent, och andelen som gjort det i kommunal vård ökade från 40 till 58 procent mellan 2022 och 2023. Socialstyrelsen bedömer samtidigt att många kommuner saknar delar i sitt informationssäkerhetsarbete och menar att ett utökat nationellt stöd kan främja utvecklingen, framför allt om det riktas till mindre kommuner som inte har kommit lika långt som större.[103]

Regionerna har enligt MSB generellt en högre nivå på sitt informationssäkerhetsarbete än kommunerna, men i Infosäkkollen 2023 var det 67 procent av 18 regioner som inte nådde den mest grundläggande säkerhetsnivån. Det finns exempelvis brister i regionernas kunskap om vilken information och vilka informationssystem som finns den egna verksamheten. Det finns även brister i uppföljningen av om krav som ställts i samband med upphandlingar varit tillräckliga och om den kontrakterade parten har infört de säkerhetsåtgärder som avtalats.[104]

2.4.2 Låg prioritet och brist på kompetens och resurser är viktiga orsaker till brister i informationssäkerhet

De huvudsakliga orsakerna till bristande informationssäkerhet, särskilt i kommunerna, är att verksamheternas ledningar inte prioriterat informationssäkerhetsarbetet och brist på resurser och kompetens.

Att många verksamheter inte arbetar systematiskt med informationssäkerhet är ofta kopplat till verksamhetsledningen. MSB lyfter fram att ledningens frånvaro är en brist, särskilt i kommunerna. Ledningarna informerar sig inte om kommunens övergripande risker och fattar inte beslut om att hantera risker som kan få stor påverkan på verksamheten. Därmed riskerar informationssäkerhetsarbetet att nedprioriteras. Enligt MSB behöver kommunerna utbildning i informationssäkerhet för att kunna utveckla sitt informationssäkerhetsarbete.[105] Enligt IVO är verksamhetsledningens ansvar hos vårdgivare ofta otydligt. Mandat och befogenheter är oklara, ansvaret för samverkan mellan olika verksamhetsdelar är otydligt och det saknas dokumenterade arbetssätt. Det kan leda till att risker inte upptäcks och säkerhetsåtgärder inte genomförs i tid.[106]

Otillräckliga resurser och ineffektivitet är två andra betydande orsaker till brister i informationssäkerhetsarbetet. Enligt MSB:s Infosäkkollen identifierar många verksamheter brist på resurser som det främsta hindret för att förbättra sitt informationssäkerhetsarbete. Särskilt kommuner behöver tillföra mer resurser enligt MSB, samtidigt som myndigheten betonar att det finns utrymme för att öka effektiviteten i arbetet för att frigöra resurser för att stärka informationssäkerhetsarbetet. MSB bedömer dock att endast ett fåtal verksamheter kommer att tillföra tillräckligt med resurser för att stärka informationssäkerheten.[107]

En annan betydande orsak till bristande informationssäkerhet är bristen på personal med rätt kompetens och låg kunskapsnivå hos de som arbetar med informationssäkerhet.[108]

2.4.3 Vårdgivare står för en betydande andel av incidenter

Vård- och omsorgsgivare ska rapportera in personuppgiftsincidenter[109] till IMY, och vårdgivare som omfattas av NIS-lagen ska rapportera IT‑incidenter[110] till MSB som ska dela dem med IVO och Socialstyrelsen. Incidentrapporteringen visar att en stor andel av incidenterna kommer från vårdgivare.

Under 2023 fick MSB in 145 incidentrapporter från NIS-leverantörer vilket är en ökning med 46 rapporter jämfört med 2022. Antalet rapporter från vården ökade med cirka 70 procent, vilket enligt MSB indikerar att antalet IT‑incidenter inom sektorn har ökat. Omkring 30 procent av de inrapporterade incidenterna från vården bedöms ha haft en betydande eller en viss påverkan på människors hälsa.[111] Under 2021 och 2022 var den vanligaste orsaken till rapporteringen från vården att incidenten påverkat tillgängligheten till system. Under dessa år var det totalt 14 regioner och 27 kommuner som rapporterade in minst en incident.[112]

Under 2022 fick IMY in cirka 5 300 anmälningar om personuppgiftsincidenter, varav var femte gällde vårdgivare.[113] Totalt 73 procent av incidenterna gällde obehörigt röjande av personuppgifter genom felaktiga utskick exempelvis via mejl eller andra misstag,[114] och 19 procent uppstod genom obehörig åtkomst, till exempel genom felaktig tilldelning av behörigheter till IT‑system. I 70 procent av fallen inom vården var den mänskliga faktorn orsak till incidenten.[115]

Ett syfte med rapporteringen är att ge myndigheterna kunskap om brister i informationssäkerhet. Det finns dock en stor underrapportering av incidenter, vilket gör det svårt att dra långtgående slutsatser om incidentrapporteringen. I kapitel 3 och 5 redogör vi för hur myndigheterna hanterar incidenterna.

  • [41] Artikel 1 och 2 dataskyddsförordningen. Dessförinnan gällde EU:s dataskyddsdirektiv (95/46/EG) med delvis motsvarande innehåll.
  • [42] Mer preciserat ansvar för säkerheten i samband med behandling av personuppgifter regleras i artikel 32 i dataskyddsförordningen. Både den personuppgiftsansvarige och dennes anlitade biträden är skyldiga att följa denna artikel vilket innebär att båda dessa aktörer behöver vidta lämpliga säkerhetsåtgärder.
  • [43] Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner och riktlinjer.
  • [44] Se artikel 32 dataskyddsförordningen.
  • [45] Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
  • [46] Se Socialstyrelsen, Säker personuppgiftsbehandling i socialtjänsten, 2018.
  • [47] Ibland läggs även spårbarhet till som en aspekt.
  • [48] 3 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6) och MSB:s metodstöd för systematiskt informationssäkerhetsarbete, informationssäkerhet.se, ”Metodstöd”, hämtad 2024-02-06.
  • [49] MSB, ”Termbanken för informationssäkerhet”, hämtad 2023-11-11.
  • [50] Skr. 2016/17:213, s. 9–10, bet. 2017/18:FöU4, s. 15, rskr 2017/18:142.
  • [51] Med systematiskt informationssäkerhetsarbete avses att arbeta strukturerat efter en bestämd process med analys, utformande och genomförande, samt uppföljning, utvärdering och förbättring. Att arbeta riskbaserat innebär att identifiera de risker som hänger samman med den information som verksamheten hanterar och anpassa skyddet av informationen utifrån denna analys.
  • [52] Klassificering är en förutsättning för att skapa rätt skydd för informationen och undvika överskydd med onödigt höga kostnader och krångliga rutiner som följd.
  • [53] MSB, Metodstöd för systematiskt informationssäkerhetsarbete En översikt, 2021.
  • [54] De omfattas av inte av förordningen (2022:524) om statliga myndigheters beredskap och därmed inte av MSB:s föreskrifter (MSBFS 2020:6) om informationssäkerhet för statliga myndigheter.
  • [55] Lagen syftar till att säkerställa en hög grad av säkerheten i bland annat hälso- och sjukvårdens nätverk och informationssystem.
  • [56] 7 kap. 1 § MSB:S föreskrifter (MSBFS 2021:9) om anmälan och identifiering av leverantörer av samhällsviktiga tjänster. Leverantörer av samhällsviktiga tjänster inom hälso- och sjukvårdssektorn omfattas av lagen om antalet legitimerad vårdpersonal överstiger 50 årsarbetskrafter eller där minst 20 000 expedieringar av receptbelagda läkemedel utförs per år.
  • [57] 1 § förordningen med instruktion för Myndigheten för samhällsskydd och beredskap.
  • [58] 11a § förordningen med instruktion för Myndigheten för samhällsskydd och beredskap.
  • [59] 4 och 17 §§ NIS-lagen och 3 och 7 §§ NIS-förordningen. MSB har utfärdat tre föreskrifter till NIS-lagen, (MSBFS 2021:9) föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster, (MSBFS 2018:8) föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster och (MSBFS 2018:9) föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster.
  • [60] 8 § NIS-förordningen.
  • [61] 26 § förordningen (2022:524) om statliga myndigheters beredskap. Den ersatte förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
  • [62] 2 § NIS-förordningen. Se även 11 och 12 §§ NIS-lagen.
  • [63] 18 § NIS-lagen och 12 § NIS-förordningen.
  • [64] 11 b § förordningen med instruktion för Myndigheten för samhällsskydd och beredskap.
  • [65] 11 a § förordningen med instruktion för Myndigheten för samhällsskydd och beredskap.
  • [66] De aktörer som levererar samhällsviktiga och digitala tjänster är vårdgivare och apotek. 12 § förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster och bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.
  • [67] 1 § förordningen med instruktion för Integritetsskyddsmyndigheten.
  • [68] Artikel 57.1 b, c, e och t samt artikel 58.3 a dataskyddsförordningen.
  • [69] Artikel 57.1 d dataskyddsförordningen.
  • [70] IMY:s svar på skriftliga frågor, 2023-10-04.
  • [71] Med behandling av personuppgifter avses åtgärder såsom lagring, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt.
  • [72] Artikel 36. 2 och artikel 57.1 l dataskyddsförordningen.
  • [73] 2a § förordningen med instruktion för Integritetsskyddsmyndigheten. Se även se artikel 57.1 t dataskyddsförordningen.
  • [74] Artikel 33, dataskyddsförordning.
  • [75] 2 a § förordningen med instruktion för Integritetsskyddsmyndigheten.
  • [76] Artikel 51.1 dataskyddsförordningen.
  • [77] Artikel 52.1 dataskyddsförordningen. Se även mejl från företrädare för IMY, 2022-12-07.
  • [78] Artikel 52.2 dataskyddsförordningen, SOU 2016:65 s. 144 och EU-domstolens dom C-518/07.
  • [79] Artikel 78 dataskyddsförordningen. Skäl 118.
  • [80] 1 och 4 §§ förordningen med instruktion för Socialstyrelsen.
  • [81] 2 och 3 §§ patientdataförordningen. Bemyndigandet framgår även av 4 kap. 2 § patientdatalagen samt när det gäller kontroll av elektronisk åtkomst till patientuppgifter med stöd av sin s.k. restkompetens, se 4 kap 3 § sista stycket patientdatalagen. 26 § förordning (2001:637) om behandling av personuppgifter inom socialtjänsten. IMY ska få möjlighet att yttra sig innan Socialstyrelsen får meddela föreskrifter.
  • [82] 7 b § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, 26–27 §§ förordningen om behandling av personuppgifter inom socialtjänsten.
  • [83] 8 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster
  • [84] Se även 27 § förordningen om behandling av personuppgifter inom socialtjänsten.
  • [85] 12 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster.
  • [86] 1–2 §§ förordningen med instruktion för Inspektionen för vård och omsorg.
  • [87] 17 § NIS-förordningen.
  • [88] I NIS-lagen används termen leverantör av samhällsviktiga tjänster. Inom hälso- och sjukvården är leverantörerna vårdgivare. Med vårdgivare avses en statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare), MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2021:9).
  • [89] 19 § 1 st. NIS-förordningen.
  • [90] 11–16 §§ NIS-lagen.
  • [91] 19 § NIS-förordningen.
  • [92] 4 § förordningen med instruktion för Inspektionen för vård och omsorg.
  • [93] 21 § NIS-förordningen.
  • [94] 19 § 4 st. NIS-förordningen.
  • [95] 12 § NIS-förordningen.
  • [96] Hälso- och sjukvårdens informationssäkerhetsnätverk (HoSIS) och Informationssäkerhetsnätverket Sveriges Kommuner (KIS).
  • [97] Regeringsbeslut 2020/00577/SOF.
  • [98] Regeringsbeslut S2023/00101.
  • [99] Ett exempel är en överenskommelse som slöts 2023 om att stärka hälso- och sjukvårdens arbete med civilt försvar, regeringsbeslut S2023/00374. Regionerna ska tilldelas totalt 405 miljoner kronor under 2023 för att bland annat stärka förmågan att motstå cyberangrepp i vårdens digitala system. SKR ska också ge praktiskt stöd till regionerna i detta arbete. SKR och regionerna ska lämna en redovisning till Socialstyrelsen senast den 31 mars 2024. Andra exempel är regeringsbeslut S2017/00378, S2019/03011, S2021/00820 (delvis), S2021/08204, S2021/02919.
  • [100] MSB, Det systematiska informations- och cybersäkerhetsarbetet i den offentliga förvaltningen, 2024. MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022, s. 8.
  • [101] IVO, Vad har IVO sett 2020? 2021, s. 88–89.
  • [102] MSB, Det systematiska informations- och cybersäkerhetsarbetet i den offentliga förvaltningen, 2024. MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022, s. 19–26.
  • [103] Socialstyrelsen, E-hälsa och välfärdsteknik i kommunerna 2023, 2023, s. 77.
  • [104] MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022.
  • [105] MSB, Det systematiska informations- och cybersäkerhetsarbetet i den offentliga förvaltningen, 2024. MSB, Behovsanalys informationssäkerhet, upplevda hinder vid systematiskt informationssäkerhetsarbete, 2023. MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022.
  • [106] IVO, Vad har IVO sett 2020?, 2021, s. 89.
  • [107] MSB, Det systematiska informations- och cybersäkerhetsarbetet i den offentliga förvaltningen, 2024. MSB, Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, 2022.
  • [108] MSB, Det systematiska informations- och cybersäkerhetsarbetet i den offentliga förvaltningen, 2024. MSB, Behovsanalys informationssäkerhet, upplevda hinder vid systematiskt informationssäkerhetsarbete, 2023. MSB:s svar på skriftliga frågor, 2023-10-06.
  • [109] En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, det vill säga informationssäkerhet för information.
  • [110] En incident är enligt 2 § NIS-lagen en händelse med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem. Hur incidentrapporteringen ska göras bestäms enligt 11–15 § NIS-förordningen.
  • [111] MSB, EU förändrar cybersäkerhetsområdet. Årsrapport it-incidentrapportering 2023, 2024, s. 18, 31.
  • [112] MSB:s svar på skriftliga frågor, 2023-10-06.
  • [113] IMY, Anmälda personuppgiftsincidenter 2022, 2023.
  • [114] Till exempel att personuppgifter avsiktligt eller oavsiktligt röjts för någon som saknar behörighet eller att brister i ett tekniskt system gjort att personuppgifter kommit till fel mottagare.
  • [115] IMY, Anmälda personuppgiftsincidenter 2022, 2023, s. 23–27, 52.

Uppdaterad: 18 april 2024

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?