3. Statens styrning av och stöd till vårdens och omsorgens informationssäkerhetsarbete

Avsnitt

3.1 MSB ger generellt stöd för systematiskt informationssäkerhetsarbete

MSB:s stöd för informationssäkerhetsarbete är uppskattat eftersom det vägleder verksamheter när de ska bygga upp det systematiska informationssäkerhetsarbetet. Men stödet är inte tillräckligt konkret när det gäller hur en verksamhet kan göra i praktiken för att skydda personuppgifter. Stödet är inte anpassat efter vårdens och omsorgens behov eftersom MSB inte anser att de har i uppdrag att ta fram sektorsspecifikt stöd. Enligt MSB är det Socialstyrelsen som har detta uppdrag inom vården och omsorgen. MSB har följt upp det egna stödet men det har inte lett förändringar av stödet. För att motverka sårbarheter sprider MSB information om risker och hot mot informationssäkerheten via olika kanaler till regioner och kommuner, men får viss kritik för att informationen inte alltid är tillräckligt konkret att agera på. MSB tar fram föreskrifter för systematiskt informationssäkerhetsarbete, men föreskriftsrätten omfattar inte vården och omsorgen utöver de vårdgivare som omfattas av NIS-lagen.

3.1.1 MSB:s stöd är uppskattat men inte anpassat till vården och omsorgen

MSB:s stöd för informationssäkerhet används och är uppskattat av vård- och omsorgsgivare. Men stödet är inte tillräckligt konkret och anpassat efter deras behov eftersom MSB inte anser att de har i uppdrag att utveckla anpassat stöd för olika sektorer.

MSB har ett brett uppdrag att ge generellt stöd för systematiskt informationssäkerhetsarbete och MSB:s stödmaterial, utbildningar och stödfunktioner är utvecklade för att passa alla typer av verksamheter. Ett centralt stödmaterial är MSB:s metodstöd för systematiskt informationssäkerhetsarbete som bygger på internationella standarder, och inte tagits fram utifrån en enskild lagstiftning.[116] Det ska ge ett praktiskt stöd till verksamheter att komma i gång med och förbättra alla delar i sitt informationssäkerhetsarbete och ska kunna användas oavsett hur långt verksamheten kommit i arbetet.[117] Som komplement till metodstödet har MSB tagit fram vägledningar, stödmaterial och informationsfilmer samt ger råd via en upplysningstjänst. MSB ordnar också utbildningar och webbutbildningar och har tagit fram ett självskattningsverktyg för återkoppling och uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen, kallat Infosäkkollen.[118]

Vård- och omsorgsgivare tar del av och använder MSB:s stöd, men stödet är inte anpassat för verksamheter inom vården och omsorgen. Stödet talar framför allt om vad en verksamhet behöver göra inom ramen för det systematiska informationssäkerhetsarbetet, men inte hur den i praktiken kan göra för att skydda personuppgifter utifrån sina arbetssätt och sina informationssystem, vilket särskilt mindre kommunala vård- och omsorgsgivare har behov av.

MSB anser att det inte ingår i deras uppdrag att utveckla stöd som är anpassade efter olika sektorers behov. MSB anser att Socialstyrelsen har ansvaret för att ge specifikt stöd till vård- och omsorgsgivares informationssäkerhetsarbete. MSB menar också att deras resurser inte räcker till för att anpassa befintligt stöd efter alla specifika målgruppers behov, även om de skulle haft ett sådant uppdrag. MSB saknar dessutom kunskap om vård- och omsorgsgivares förutsättningar för att veta om och hur stödet behöver anpassas.[119]

I avsnitten nedan utvecklar vi våra iakttagelser av MSB:s olika stöd.

Metodstödet är inte sektorsspecifikt

MSB:s metodstöd för att bygga upp och bedriva ett systematiskt informationssäkerhetsarbete är uppdelat i fyra steg: identifiera och analysera, utforma, använda samt följa upp och förbättra. Stegen innebär bland annat att verksamheten ska analysera och identifiera risker och den egna verksamhetens behov, ta fram interna styrdokument och handlingsplaner, implementera olika säkerhetsåtgärder, till exempel klassning av information och utbildning av personal, samt följa upp åtgärderna och genomföra förbättringar.[120]

Metodstödet används och är uppskattat enligt de intervjuer som vi genomfört med kommuner och regioner. Det framkommer även i en uppföljning av stödet som MSB låtit genomföra.[121] En generell synpunkt som framkommer i flera intervjuer med kommuner är att MSB tar sin stödjande roll på allvar och upplevs vilja hjälpa till med att stärka deras informationssäkerhetsarbete.[122] Metodstödet upplevs framför allt som konkret när det gäller vad det systematiska informationssäkerhetsarbetet ska innehålla. Det får samtidigt kritik i en del intervjuer för att det ger för lite konkret vägledning i hur man ska göra när stödet ska omsättas i praktiken, till exempel vad en relevant säkerhetsåtgärd är eller hur man ska tänka när man gör en riskanalys för den egna verksamheten.[123] Motsvarande bild framkom i MSB:s uppföljning av metodstödet. Metodstödet är lättare att använda för verksamheter med stora resurser eftersom det kräver tid och kompetens, medan mindre verksamheter har ett behov av mer stöd för hur informationssäkerhetsarbetet ska implementeras.[124] Vår granskning visar att metodstödet inte upplevs vara tillräckligt anpassat för vårdens och omsorgens behov. Ett exempel som lyfts fram är konkret stöd i vilka risker som finns för skydd av uppgifter inom vården.[125]

Enligt MSB är metodstödet inte tänkt att ge stöd i specifika frågor utan bygger på att en verksamhet arbetar systematiskt och riskbaserat genom att identifiera vilka säkerhetsåtgärder de behöver implementera. MSB kan inte ge specifikt stöd eftersom det ser väldigt olika ut i olika sektorer, inom olika organisationer och i olika IT‑system som organisationer använder sig av. Det gör att en verksamhet själv exempelvis måste identifiera vilka risker den har och utgå från dem. Det innebär också att MSB inte kan ge specifika råd om exempelvis vilka behörigheter som ska tilldelas, vilka kontroller av loggar som ska genomföras eller vilka brandväggar man ska ha för att skydda information.[126] MSB kan exempelvis ge råd om hur man ska tänka inför behörighetstilldelning, men inte om hur många behörighetsgrupper som behövs eller vilka behörigheter som olika yrkesgrupper eller enskilda personer ska tilldelas.[127]

Rådgivningstjänsten ger inte råd om specifika åtgärder

För att komplettera metodstödet, vägledningar och annat stödmaterial har MSB sedan hösten 2022 en rådgivningstjänst som ska ge stöd till verksamheters systematiska informationssäkerhetsarbete. Syftet är att hjälpa olika verksamheter att anpassa sitt informationssäkerhetsarbete utifrån MSB:s stöd.[128] Vår genomgång av frågorna till tjänsten under hösten 2022 visar att den sällan ger råd om vilka specifika åtgärder som ska genomföras. Kommuner och regioner blir oftast hänvisade till MSB:s vägledningar och stödmaterial. Majoriteten av frågorna kom från kommunerna och handlade om hur man ska bygga ett systematiskt informationssäkerhetsarbete och hur man ska införa säkerhetsåtgärder i den egna verksamheten.[129]

Infosäkkollen är anpassad för verksamheter med mindre utvecklat informationssäkerhetsarbete

MSB har inom ramen för ett regeringsuppdrag om att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen utvecklat ett digitalt verktyg, Infosäkkollen. Det är ett frivilligt självskattningsverktyg som ska ge verksamheter en bild av nivån på sitt informationssäkerhetsarbete och ge förslag på förbättringsåtgärder. Ett syfte är även att verktyget ska ge MSB underlag för att regelbundet ge regeringen en samlad bedömning av nivån på det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen.[130] Undersökningen har genomförts 2021 och 2023. Under 2023 var svarsfrekvensen 86 procent för regioner och 53 procent för kommuner. Under 2023 tillkom frågor om säkerheten i IT‑system och det blev möjligt att jämföra det egna resultatet med sammanställda resultat från samtliga deltagande verksamheter.[131]

I vår granskning framkommer att Infosäkkollen är uppskattad av de som använder verktyget[132] vilket också är MSB:s bild, men verktyget får viss kritik för att inte ge tillräcklig konkret vägledning för verksamheter som kommit längre i sitt informationssäkerhetsarbete. MSB har medvetet valt att utforma Infosäkkollen så att den ger återkoppling på en relativt grundläggande nivå för att verktyget ska kunna användas av och fungera för alla typer av verksamheter.[133]

Att Infosäkkollen är frivilligt att använda och att verktyget framför allt är anpassat för verksamheter som inte kommit så långt i sitt informationssäkerhetsarbete påverkar dess svarsfrekvens. Det försvagar MSB:s uppföljning av nivån på det systematiska informationssäkerhetsarbetet och den rapportering som MSB gör till regeringen.

Exempelvis pekar MSB på att en viss förbättring i informationssäkerhet som kan ses mellan 2021 och 2023 delvis är svårtolkad eftersom deltagandet av mer utvecklade verksamheter ökade medan det minskade för verksamheter som hade sämre resultat 2021. Enligt MSB bör det vara obligatoriskt för offentlig förvaltning och NIS-leverantörer att delta i Infosäkkollen.[134]

Utbildningar riktas inte längre till kommunledningar

En viktig faktor för att utveckla informationssäkerhetsarbetet i en verksamhet är att dess ledningsfunktioner har intresse för och kunskap om frågan, något som MSB har identifierat som en vanlig brist i kommunerna.[135] MSB genomför inga utbildningar som riktas till kommuners och regioners ledningar.

MSB har tagit fram olika webbutbildningar för att stärka arbetet med informationssäkerhet och har på uppdrag av regeringen tagit fram och genomfört olika kompetenshöjande utbildningar om informationssäkerhet för personal i offentlig sektor.[136] Inom ramen för regeringsuppdrag[137] har MSB tidigare genomfört utbildningar för CISO (”chief information security officer”) och ledningar i kommuner, regioner och statliga myndigheter men lade ner kursen eftersom den inte nådde personer i ledande ställning och inte ansågs vara resurseffektiv. MSB har inga utbildningar för kommunala eller regionala ledningsfunktioner inplanerade, men undersöker möjligheten att nå målgruppen till exempel via mindre resurskrävande webbutbildningar och i samarbete med SKR.[138]

MSB:s stöd finns på olika webbsidor

MSB publicerar stödmaterial för informationssäkerhet på olika webbsidor och det är inte alltid uppdaterat. Det gör att stödet delvis brister i tillgänglighet.

MSB publicerar för närvarande sina vägledningar och annat stödmaterial på tre olika webbplatser vilket kan skapa viss förvirring. Det finns även kritik mot att vägledningar och stöd på webbsidorna inte är uppdaterade och att inaktuella versioner kommer fram vid sökningar.[139] Att inaktuella versioner dyker upp kan enligt MSB bero på MSB:s interna versionshantering och på att sökmotorer söker upp vägledningar som funnits länge eftersom de är de mest eftersökta. En annan synpunkt är att en vägledning plötsligt kan tas bort utan information om varför.[140] MSB arbetar med att samla allt stödmaterial till sin webbplats för att öka tillgängligheten.

3.1.2 Informationsspridningen om risker och hot får viss kritik

MSB har i uppdrag att sprida information om hot och sårbarheter i IT‑system som skyddar information via sin CERT-funktion, som även ska ge operativt stöd vid IT‑incidenter (se avsnitt 3.4.1). CERT-funktion sprider information om risker och hot mot informationssäkerhet till regioner och kommuner men får viss kritik för att informationen inte alltid är tillräckligt konkret för att vara möjlig att agera på.

CERT-funktionen sprider informationen genom webbpubliceringar eller så kallade blixtmeddelanden (prenumerationstjänst)[141] och via riktade säkerhetsmeddelanden till organisationer med bland annat en identifierad sårbarhet.[142] Under 2022 publicerade MSB 156 webbartiklar med information om sårbarheter, hot och risker med rekommendationer och gjorde 900 utskick av säkerhetsmeddelanden.[143] Inom vården sprids information till regionerna via Hälso- och sjukvårdens informationssäkerhetsnätverk (HOSIS) och till kommunerna via Informationssäkerhetsnätverket Sveriges kommuner (KIS). Information sprids även i Forum för informationsdelning för privat och offentlig samverkan (Fidi).[144]

I våra intervjuer framkommer både positiva och negativa omdömen om MSB:s information om risker och hot. MSB får viss kritik för att informationen är för allmängiltig för att den ska gå att agera på, men uttrycker förståelse för att den inte kan vara för specifik av sekretesskäl.[145] En kommun upplever informationen från MSB som konkret och värdefull.[146]

MSB har utvecklat CERT-funktionen inom ramen för ett regeringsuppdrag som avrapporterades under 2023. MSB tog fram nya digitala verktyg för incidentrapportering och delning av sårbarhetsinformation samt en plattform för att dela information om indikatorer på dataintrång, men uppger att man behöver fortsatt utveckla sina förmågor att skaffa kunskap om hot och att kunna upptäcka intrång i realtid för att avvärja dem.[147] Regeringen har tillfört MSB 20 miljoner kronor under 2024 för att utveckla CERT-funktionen.[148]

3.1.3 MSB har följt upp det egna stödet men analyserar inte mörkertalet av IT‑incidenter

MSB följde 2022 upp sitt metodstöd och genomförde 2023 en behovsanalys av vilka hinder som finns för att höja nivån på det systematiska informationssäkerhetsarbetet inom bland annat regioner och kommuner. Syftet var att få underlag för utveckling av stödet.[149] Resultatet från 2022 visade bland annat att regioner och kommuner efterfrågade mer konkret och anpassat stöd när det gäller hur informationssäkerhet ska implementeras i organisationen. Enligt MSB visade uppföljningarna inte på några överraskande resultat utöver det som MSB redan kände till och resultatet har inte gett myndigheten anledning att förändra sin planering eller sina prioriteringar i utvecklingen av stödet.[150]

Vård- och omsorgsverksamheter ska rapportera in IT‑incidenter till MSB och rapporterna utgör ett underlag för MSB:s analyser av brister i informationssäkerhet i olika verksamheter. Men det finns stor en underrapportering av incidenter och det är enligt MSB bara en tredjedel av alla inträffade incidenter som inrapporteras.[151] En stor andel av regionerna och kommunerna har inte rapporterat in någon incident under 2021 och 2022 (se avsnitt 2.4.3). Regeringen har uppmärksammat att underrapporteringen är ett problem eftersom rapporteringen är viktig för att kunna inrikta arbetet med att utveckla informationssäkerheten.[152]

En förklaring till underrapporteringen är enligt MSB att en incident ska vara betydande för att rapporteras in. När incidenten inte har lett till någon skada ser en verksamhet ingen anledning att anmäla incidenten, och när det som lett till en incident har lösts blir mervärdet av att anmäla också lägre.[153]

MSB har inte genomfört mörkertalsanalyser av varför rapporteringsfrekvensen skiljer sig åt mellan kommuner och regioner och varför vissa verksamheter inte alls rapporterar in några IT‑incidenter.[154] Det är därför oklart om incidentanmälningarna ger en korrekt bild av problemen i vårdens och omsorgens informationssäkerhet. Som nämnts (se avsnitt 3.1.1) påverkar även utformningen av Infosäkkollen MSB:s uppföljningar. Det finns därmed flera svagheter i MSB:s underlag för uppföljning som påverkar MSB:s möjligheter att dra slutsatser om informationssäkerhetsbrister i bland annat vården och omsorgen. Det påverkar i sin tur MSB:s rapportering till regeringen om informationssäkerhetsbristerna.

3.1.4 Krav på systematiskt informationssäkerhetsarbete omfattar inte omsorgen och mindre vårdgivare

MSB har föreskriftsrätt för systematiskt informationssäkerhetsarbete utifrån olika bestämmelser. MSB saknar lagstöd för att meddela föreskrifter för kommuners och regioners informationssäkerhetsarbete och de föreskrifter som MSB har tagit fram till NIS-lagen omfattar inte omsorgsgivare och mindre vårdgivare.

MSB har tagit fram föreskrifter om informationssäkerhet för statliga myndigheter och föreskrifter om säkerhet i informationssystem med tillhörande vägledning.[155] MSB har inte lagstöd för att ta fram motsvarande föreskrifter för kommuner och regioner, men rekommenderar regioner och kommuner att utgå från föreskrifterna och vägledningen för statliga myndigheter eftersom de också behöver bedriva ett systematiskt informationssäkerhetsarbete. Föreskrifterna är dock inte bindande för regioner och kommuner och kan därför bland annat inte utgöra grund för tillsyn. MSB önskar att få föreskriftsrätt för kommuners och regioners informationssäkerhet.[156]

MSB har även gett ut tre föreskrifter till NIS-lagen. MSB:s föreskrifter och allmänna råd (MSBFS 2018:8) om informationssäkerhet för leverantörer av samhällsviktiga tjänster ställer krav på de flesta vårdgivare att bedriva systematiskt informationssäkerhetsarbete, men de omfattar inte omsorgsgivare och de mindre vårdgivare som inte omfattas av NIS-lagen.

3.2 IMY ger generellt stöd för skydd av personuppgifter

IMY:s stöd till vård- och omsorgsgivarnas arbete med att skydda personuppgifter är generellt och inte anpassat efter deras behov. IMY ger inte specifikt stöd eftersom de inte anser att det ingår i deras uppdrag ta fram sektorsspecifikt stöd. Till exempel ger IMY sällan stöd för hur bestämmelserna som gäller för vården och omsorgen kan tolkas, vilket försvårar för vård- och omsorgsgivare att förstå vad som förväntas av dem. Vård- och omsorgsgivare kan söka råd från IMY för att hantera höga risker innan de påbörjar en personuppgiftsbehandling, men IMY ger dem inte tillräckligt stöd om hur de kan hantera riskerna. IMY:s tillsynsbeslut inom vården och omsorgen är svåra att använda som vägledning för skydd av personuppgifter eftersom de är svåra att förstå och få till antalet. IMY har inte följt upp vårdens och omsorgens behov av stöd eller utvärderat hur det befintliga stödet fungerar.

3.2.1 IMY:s stöd för skyddet av personuppgifter är generellt

Skydd av personuppgifter regleras i dataskyddsförordningen och kompletterande lagstiftning, och ska uppnås genom användning av lämpliga tekniska eller organisatoriska säkerhetsåtgärder i förhållande till risker som behandlingen medför.[157] IMY har en viktig roll i att vägleda[158] och stödja olika verksamheter, inklusive vård- och omsorgsgivare, för att tillämpa dataskyddsreglerna på ett korrekt sätt och för att skydda exempelvis känsliga personuppgifter.[159]

IMY:s stöd till vård- och omsorgsgivarnas arbete med att skydda personuppgifter enligt dataskyddsregelverket består av en generell vägledning om dataskyddsförordningen och hur den kan tillämpas. Den finns på IMY:s webbplats och är riktad till alla organisationer oavsett storlek eller verksamhetsområde. IMY hänvisar också till över 30 vägledningar från Europeiska dataskyddsstyrelsen (EDPB), varav flera berör dataskyddsfrågor.

IMY har också två specifika vägledningar för vården. En handlar om behovs- och riskanalys vid tilldelning av behörigheter[160] och en är checklista för logguppföljning av åtkomst till personuppgifter.[161] IMY anser att Socialstyrelsens föreskrifter innehåller tydliga krav på vissa säkerhetsåtgärder som är lämpliga enligt dataskyddsförordningen.[162] IMY ska också ge stöd genom att svara på frågor om hur dataskyddsreglerna kan tolkas, göra rättsliga ställningstagande och ge råd vid förhandssamråd och via sina tillsynsbeslut.

3.2.2 IMY:s generella stöd motsvarar inte vårdens och omsorgens behov

Våra intervjuer med sex kommuner och två regioner visar att IMY:s vägledningar inte i tillräcklig utsträckning stödjer deras informationssäkerhetsarbete. Det finns en rättslig osäkerhet hos regioner och framför allt hos kommuner om hur dataskyddsregelverket ska tolkas och tillämpas i det praktiska informationssäkerhetsarbetet i vården och omsorgen. Vård- och omsorgsgivare har behov av att få stöd i att tolka dataskyddsreglerna när de ska fatta beslut om vilka säkerhetsåtgärder som krävs för att uppfylla lagstiftningen. Flera kommuner och en region betonar att de, i brist på stöd, lägger betydande resurser på att tolka dataskyddsreglerna självständigt. Eftersom vård- och omsorgsgivare ibland gör olika tolkningar och beslut kan skyddet för personuppgifter variera över landet. Tydligare stöd i hur dataskyddsreglerna kan tolkas skulle enligt kommuner och regioner öka enhetligheten, underlätta för dem att fatta beslut om säkerhetsåtgärder och frigöra resurser för det faktiska informationssäkerhetsarbetet.[163]

Exempel på när det är svårt att fastställa lämpliga säkerhetsåtgärder för att upprätthålla adekvat informationssäkerhet är när:[164]

• servrar får placeras i Sverige eller utomlands,
• datalagring hanteras i amerikanska molntjänster,
• personuppgifter överförs till tredje land.

De efterfrågar också stöd för arbetet med att:[165]

• upphandla system som involverar informationssäkerhet, till exempel vid upphandling av digitala medicintekniska produkter,
• avgöra vilka riskområden och risker för informationssäkerhet som finns i vård- och omsorgssektorn,
• fastställa en lämplig miniminivå för säkerhetsåtgärder samt checklistor för praktisk tillämpning av informationssäkerhet,
• sammanställa befintlig rättspraxis inom området för att underlätta tolkningen av dessa frågor.

Två kommuner pekar på MSB:s metodstöd och pedagogiska material som ett bra exempel på hur IMY borde utforma sitt stöd.[166]

Regionerna anser att IMY inte ger dem tillräckligt med stöd för att hantera de komplexa avvägningarna som uppstår när man balanserar mellan olika lagar, särskilt när det gäller att förena informationssäkerhet och patientsäkerhet vid användning av digitala produkter inom vården.[167] En region efterfrågar stöd om vilken kryptering de ska använda för att skydda patienternas identitet vid sambearbetning av uppgifter. I brist på sådana föreskrifter[168] har regionen använt vägledning från andra länders motsvarighet till IMY.[169]

Företrädare för SKR påpekar att det är svårt för kommuner att fastställa lämpliga säkerhetsåtgärder när myndigheter inte specificerar en standard eller ger vägledning i vad som kan anses vara passande eller en lägstanivå. Detta kan leda till varierande tolkningar beroende på teknisk utveckling och den kunskapsnivå som finns i organisationerna. Det är framför allt mindre kommuner som saknar tillräckligt med kompetens och resurser.[170]

Samtliga sex kommuner och två regioner som vi har intervjuat har svårt att rekrytera och behålla kompetens inom informationssäkerhet. De två mindre kommunerna betonar att de inte arbetar systematiskt med informationssäkerheten på grund av otillräckliga resurser och brist på kompetens samt att informationssäkerhetsarbetet inte är en prioriterad fråga i kommunen.[171]

Regeringen konstaterade 2020 att behovet av stöd och vägledning från IMY hade ökat påtagligt i både privat och offentlig sektor.[172] Regeringen har dock inte verkat för att IMY ska ta fram mer verksamhetsspecifik vägledning och stöd till bland annat vård- och omsorgsgivares arbete med att skydda personuppgifter. Enligt företrädare för Justitiedepartementet är IMY fullständigt oberoende i utförandet av sina uppgifter och regeringen är därför restriktiv i sin styrning av myndigheten.[173]

Brist på praxis och vägledning från EU försvårar konkret vägledning

IMY är medvetna om att det finns ett stort behov av vägledning i hur dataskyddsreglerna ska tolkas och tillämpas,[174] och att verksamheter vill få stöd i att navigera mellan en komplex lagstiftnings och en praktisk verklighet.[175] Enligt IMY skulle de kunna ge konkret och anpassad vägledning till vård- och omsorggivare genom att tolka regelverket och ta ställning i rättsliga frågor i betydligt större utsträckning än vad de gör idag. Men IMY har valt att ge generell vägledning som når ut till en bredare grupp verksamheter eftersom myndighetens ansvarsområde täcker alla sektorers personuppgiftsbehandling. Att ge sektorsspecifik vägledning om informationssäkerhet är enligt IMY inte möjligt.[176] IMY avvaktar resultatet av olika ärenden som är föremål för domstolsprövning, och vars utgång ännu inte har vunnit laga kraft, innan de överväger att uppdatera sin vägledning.[177]

Andra viktiga förklaringar till att IMY har svårt att ge konkret vägledning och tydligt stöd vid tolkning av regelverket är att det finns begränsad domstolspraxis från EU‑domstolen och begränsad vägledning från EDPB på området.[178] IMY har därför som mål att ta tydlig ställning i rättsliga frågor och därigenom bidra till att utveckla praxis på nationell nivå.[179] Vår granskning visar dock att IMY sällan tar ställning i rättsliga frågor. Sedan 2018 har IMY endast publicerat fyra rättsliga ställningstaganden[180] där det saknas domstolspraxis eller vägledning. Inget av dessa rör vård eller omsorg.[181]

IMY ger sällan konkreta svar på hur bestämmelserna kan tolkas

För att få stöd i hur dataskyddsreglerna ska tolkas i förhållande till informationssäkerhet ställer vård- och omsorgsgivare regelbundet frågor till IMY.

Vår genomgång av inkomna kvalificerade frågor från vårdgivare och omsorgsgivare visar att IMY inte ger konkreta svar eller klargörande exempel på hur de kan hantera och skydda personuppgifter i sina verksamheter. I stället ger IMY generell vägledning och försöker hjälpa dem att förstå regelverket genom att hänvisa till relevanta artiklar i dataskyddsförordningen eller till information på deras webbplats. I en tredjedel av fallen hänvisar IMY till regionens eller kommunens dataskyddsombud för mer specifik vägledning.[182]

IMY betonar att frågorna ibland är beroende av sammanhanget och att IT‑systemen inom vården och omsorgen är komplicerade. Därför undviker de att ge tydliga svar i specifika situationer, om inte Socialstyrelsens föreskrifter redan specificerat det, eftersom det kan leda till lösningar som inte är optimala. Andra viktiga förklaringar till att IMY inte ger konkret stöd är deras försiktighet med att tolka bestämmelserna. Enligt IMY skulle de behöva göra rättsliga ställningstaganden av bestämmelserna för att ge tydliga svar till verksamheter, vilket är svårt inom enskilda frågeställningar.[183] IMY betonar att de måste tolka dataskyddsförordningen tillsammans med andra dataskyddsmyndigheter för att säkerställa enhetlig tillämpning inom EU.[184] Enligt IMY gör dataskyddsmyndigheterna olika tolkningar av dataskyddsförordningen, och IMY behöver därför vara försiktiga i sin tolkning och samarbeta med andra dataskyddsmyndigheter för att få fram gemensam vägledning och praxis.[185] IMY anser att det även är en utmaning att balansera mellan att ge konkret stöd samtidigt som de bedriver tillsyn.[186]

Kommuner och regioner som vi har intervjuat har sökt stöd från IMY i olika informationssäkerhetsfrågor men anser att de i huvudsak inte fick det stöd som de behöver. Kommunerna berättar att de blev hänvisade till svårförståelig lagtext.[187] Ett exempel på behov av stöd är hur man prioriterar risker för personuppgifter i förhållande till bestämmelserna. En kommun tolkade att dataskyddsförordningen inte tillåter sannolikhetsbedömning av att en risk föreligger utan kräver att alla risker behandlas som höga. Enligt kommunen ställs de i en svår situation när de måste hantera potentiella risker utan möjlighet att bedöma om de verkligen utgör en hög risk i jämförelse med andra bestämmelser och behov inom vården och omsorgen. Kommunen hade behövt vägledning om risker och riskbedömningar.[188]

De två intervjuade regionerna anser att IMY inte gav dem tillräckligt med stöd för att hantera komplexa avvägningar mellan olika bestämmelser.[189] En region betonar att IMY inte förstår deras verksamhet och sådana målkonflikter. Till exempel har regionen frågat IMY om anonymisering och pseudonymisering men fått ett vagt svar, med huvudbudskapet att anonymisering inte är genomförbart.[190]

Vägledningsarbetet på EU-nivå tar lång tid och omfattar kompromisser

IMY lägger mycket tid och resurser på samarbete med andra dataskyddsmyndigheter inom EDPB[191] för att ta fram gemensamma vägledningar.[192] IMY anser att det finns utmaningar i samarbetet, särskilt när det gäller tolkningen av dataskyddsförordningen, vilket kan leda till kompromisser i vägledningar och göra dem mindre konkreta och tydliga. Strävan efter konsensus inom EDPB kan förlänga processen med att ta fram en vägledning och göra den föråldrad på grund av snabb teknisk utveckling och förändringar i domstolspraxis.[193]

IMY deltar aktivt i de flesta arbetsgrupper för vägledningar inom EDPB och leder arbetet med flera vägledningar. Under 2022 deltog IMY i drygt hundra arbetsgruppsmöten.[194] IMY anser att dataskyddsförordningen har förändrat samarbetet mellan EU:s dataskyddsmyndigheter i grunden och anser sig stå på två ben, dels som en nationell tillsynsmyndighet, dels som en del av EDPB där huvuddelen av utvecklingen och tolkningen av lagstiftningen sker.[195]

Processtöd för vägledningsarbetet på plats först 2024

Fram till 2023 hade IMY ingen strukturerad arbetsprocess för att skapa vägledning och stöd till olika verksamheter.[196] Redan 2022[197] insåg IMY behovet av att förbättra sitt arbete med att ta fram vägledningar för olika verksamheter. Beslutet att förbättra arbetet med vägledning vad gäller dataskyddsförordningen togs i september 2023. Under 2024 är en av IMY:s huvudprioriteringar att intensifiera och bredda arbetet med vägledning för olika teman baserat på identifierade behov från olika sektorer. En prioriterad vägledningsaktivitet är konsekvensbedömningar, vilket var något som IMY identifierade som ett område som fler aktörer vill ha vägledning i. IMY har inte beslutat om kommande vägledningar ska rikta sig specifikt till vård- och omsorgssektorn.[198]

3.2.3 Förhandssamråd används sällan för att ge konkret stöd

Personuppgiftsansvariga måste, enligt dataskyddsförordningen, begära ett förhandssamråd med IMY innan de påbörjar personuppgiftsbehandling som medför hög risk för enskildas fri- och rättigheter. Denna begäran föregås av en konsekvensbedömning som visar på en kvarstående hög risk[199] för personers rättigheter och friheter, inklusive skyddet av personuppgifter. IMY ska ge råd om hur man kan hantera riskerna eller förbjuda behandlingen om den inte är förenlig med dataskyddsförordningen.[200] Förhandssamrådet kan därmed fungera som ett konkret stöd när det gäller informationssäkerhet. Vår granskning visar dock att IMY inte har gett tillräckligt med stöd till vård- och omsorgsgivare via förhandssamråd.

Mellan 2018 och 2023 ansökte organisationer om 85 förhandssamråd hos IMY, varav 6 var från vård- och omsorgsgivare.[201] Samtliga 6 avvisades eftersom de inte uppfyllde kraven, till exempel på grund av otillräckliga underlag eller för att personuppgiftsbehandlingen redan hade påbörjats. IMY anser att alltför få förfrågningar om förhandssamråd kommer in till myndigheten, vilket hindrar IMY från att ge råd eller vidta åtgärder för att minska riskerna för skyddet av personuppgifter.[202] IMY anser att det inte behöver införas krav[203] på förhandstillstånd för vissa personuppgiftsbehandlingar som fallet var enligt tidigare lagstiftning. Enligt IMY kan de ge vägledning till verksamheterna i samma frågor utanför förhandssamrådet om verksamheterna söker stöd från myndigheten.[204]

IMY upplever att organisationer inte begär förhandssamråd eftersom de felaktigt bedömer riskerna i sina konsekvensbedömningar eller att de inte är medvetna om kraven. Två kommuner och en intervjuad region anser att organisationer inte begär förhandssamråd eftersom IMY oftast avslår ansökningarna utan att ge alternativa lösningar på hur de skulle kunna minska riskerna. Exempel på sådana situationer är de behandlingar som inleddes före dataskyddsförordningen vilka är ett hinder för att begära förhandssamråd och få råd.[205] En kommun hade sökt vägledning från IMY i samma frågor utanför förhandssamrådet men inte fått det.[206] Ett fall som IMY avvisade överklagades till förvaltningsrätten som dock upphävde IMY:s avvisningsbeslut. Domstolen fann att enbart den omständigheten att behandlingarna har påbörjats inte utgör skäl att avvisa sökandens begäran varför ärendet återförvisades för ny handläggning hos IMY.[207]

SKR anser att förhandssamråd kommer sent i processen och att det krävs hög kompetens inom organisationer för att bedöma konsekvenserna. Enligt SKR bör IMY vara mer proaktiv och ge stöd tidigare.[208]

IMY försöker öka kunskapen om konsekvensbedömningar genom vägledande information på sin webbplats, seminarier och utbildningar. IMY planerar att utveckla vägledningen om konsekvensbedömningar under 2024 för att öka förståelsen för reglerna.[209]

3.2.4 Svårt att använda tillsynsbesluten som vägledning

IMY anser att deras tillsynsbeslut inom vården kan fungera som vägledning för liknande verksamheter eftersom de tydliggör lämpliga åtgärder för bland annat skydd av personuppgifter.[210]

Dock anser flera intervjuade kommuner och regioner att tillsynsbesluten är svåra att använda som vägledning för skydd av personuppgifter. En kommun anser att beslutens motivering är svåra att förstå på grund av det juridiska språket.[211] En annan kommun betonar att det finns för få beslut inom vården som är vägledande.[212]

Ett dataskyddsombud anser att tillsynsbesluten är öppna för olika tolkningar, vilket skapar förvirring bland verksamheterna när de ska omsätta besluten i praktiken.[213] En region anser att tillsynsbesluten bara täcker en del av behoven av vägledning för vården och efterfrågar mer förebyggande stöd.[214]

IMY har förståelse för att besluten är juridiskt komplicerade och svåra att förstå.[215] För att göra tillsynsbesluten mer praktiskt användbara för vårdgivarna utvecklade dåvarande Datainspektionen 2020 en vägledning för behovs- och riskanalys vid behörighetstilldelning[216] i samband med tillsyn av åtta vårdgivare.

3.2.5 Få utbildningar som delvis berör informationssäkerhet

IMY framhåller att utbildning är en viktig kanal för att ge vägledning och stöd. Fram tills 2020 höll IMY i en 1–2 dagars utbildning om säkerhetsbestämmelser i dataskyddsförordningen för alla sektorer. Från och med 2020 övergick de till en timmes årlig digital grundutbildning för att utöka tillgängligheten.[217]

Våra intervjuer med kommuner visar att de vill ha mer fördjupade och praktiskt anpassade utbildningar. En kommun betonar att IMY:s utbildning i dataskyddsförordningen inte är tillräckligt praktisk för att stödja arbetet med säkerhetsåtgärder i verksamheten.[218] Kommunerna efterfrågar konkreta utbildningar om exempelvis riskanalyser och de specifika risker som är relevanta inom vården och omsorgen samt utbildningar för roller såsom informationssäkerhetssamordnare.[219] En annan kommun lyfter MSB:s utbildningar för informationssäkerhet som goda exempel som bidrar till att stärka medarbetarnas kompetens. Kommunen upplever att IMY saknar motsvarande utbildningar för dataskydd.[220]

IMY deltar i ”Tänk säkert”-kampanjen[221] som syftar till att öka medvetenheten om informations- och cybersäkerhetsfrågor och håller webbinarier om ämnen såsom personuppgiftsincidenter och säkerhetsåtgärder. IMY håller också föreläsningar och har till exempel deltagit i SKR:s nätverk för socialtjänsten. IMY har dessutom årligen en digital konferens för dataskyddsombud från alla sektorer.[222]

3.2.6 De flesta personuppgiftsincidenter avslutas utan åtgärder och hanteras inte effektivt

Alla organisationer ska inom 72 timmar rapportera personuppgiftsincidenter[223] till IMY genom ett formulär på deras webbplats. Innan personuppgiftsansvariga anmäler en incident ska de bedöma om det är troligt att incidenten innebär en risk för de berörda individernas fri- och rättigheter.[224] IMY har tagit fram flera exempel på webbplatsen som kan vara vägledande i riskbedömningen. EDPB har också en vägledning för hur olika typer av incidenter bör hanteras.[225]

IMY utreder inte alla incidenter utan väljer manuellt ut de som anses ha högst risk utifrån vissa kriterier.[226] De allra flesta incidenterna avslutas utan åtgärder och utan att IMY utvärderar hur organisationen hanterade dem. I de få fall där det bedöms att det finns en hög risk överlämnas incidenterna till operativa tillsynsenheter som bedömer om tillsyn ska inledas eller inte.[227]

Flera intervjuade kommuner och en region anser att anmälningsprocessen för incidenter behöver förbättras och förenklas. De är osäkra på vilka incidenter som ska rapporteras[228] och föreslår att det borde finnas en enda kanal för att rapportera olika incidenter till alla berörda myndigheter.[229] De anser också att IMY:s anmälningsformulär är komplicerat och bör förenklas.

En kommun föreslår att IMY kompletterar formulären med informationstexter för att göra frågorna tydligare. De vill också ha tydliga kriterier för att bedöma allvarliga och mycket allvarliga incidenter. Kommunen vill även att IMY tydligt förklarar i besluten varför de inte utreder incidenter. Det skulle ge dem vägledning för framtida åtgärder vid liknande incidenter. Kommunen anser att bristen på återkoppling, och det faktum att incidenter sällan leder till tillsyn, inte uppmuntrar verksamheterna att anmäla incidenter till IMY.[230]

En annan kommun anser att IMY bör inleda mer tillsyn baserat på incidenter. Eftersom IMY oftast bara avslutar incidentärenden utan åtgärder kan det leda till att riskerna kvarstår i verksamheterna.[231] En annan kommun anser att Socialstyrelsen borde analysera incidenterna och vilka konsekvenser som de medför, och vägleda i hur ska man hantera det inom vården och omsorgen.[232]

Personuppgiftsansvariga som har anmält incidenter har behövt vänta länge på besked om att ärendet avslutats. Under 2022 avslutades 67 procent av alla incidenter inom 30 dagar.[233] Långa handläggningstider beror enligt IMY på att vissa anmälningar saknar nödvändig information och behöver kompletteras. En annan orsak är att hanteringen av incidenterna inte är digitaliserad och måste utföras manuellt, vilket är resurskrävande. En tredje orsak är IMY:s prioritering av arbetet med klagomål, vilket har minskat resurserna till hanteringen av personuppgiftsincidenter.[234]

IMY analyserar inte orsaker till mörkertalet

IMY bedömer att det finns ett stort mörkertal av anmälningspliktiga personuppgiftsincidenter[235] som inte rapporteras till myndigheten. De är medvetna om att vissa sektorer och verksamheter inte rapporterar incidenter. Men IMY har inte undersökt varför alla incidenter inte rapporteras och i vilka sektorer som problemet är störst. IMY har inte heller undersökt vilka vårdgivare och omsorgsgivare inom regioner och kommuner som rapporterar och vilka som inte gör det.[236] Därför är det oklart om de incidentanmälningar som IMY har fått ger en korrekt bild av problemen i vårdens och omsorgens informationssäkerhet. Sammantaget innebär mörkertalet och bristen på analyser att risken är att IMY inte inriktar tillsynen mot de mest relevanta problemområdena och inte förbättrar stödet som behövs för att höja nivån på informationssäkerheten inom olika verksamheter.

Företrädare för IMY betonar att mörkertalet är svårt att mäta men att de skulle kunna minska underrapporteringen inom vården genom att granska vårdgivare som inte har anmält incidenter och jämföra deras dataskyddsarbete[237] med de vårdgivare som har anmält incidenter.[238]

Enligt IMY kan det vara svårt för vård- och omsorgsgivare att veta till vilken myndighet de ska anmäla en incident. För att fler verksamheter ska anmäla incidenter, både om personuppgifter till IMY och om IT‑incidenter till MSB, anser IMY att det behövs en enklare kanal via en webbplats för att rapportera incidenter och att berörda myndigheter behöver samarbeta i detta. IMY samverkar dock inte med MSB eller Polismyndigheten om inrapporterade incidenter. Enligt IMY behöver de också samverka med Socialstyrelsen och dela analyser av personuppgiftsincidenter från vården och omsorgen så att Socialstyrelsen kan förbättra sitt stöd. IMY tror också att sekretess för incidentanmälningarna skulle minska mörkertalet. IMY påtalar skyldigheten att anmäla incidenter på sin webbplats men har inte verkat för att främja rapporteringsviljan genom riktad information till vård- och omsorgsgivare.[239]

Det pågår ett utvecklingsarbete med personuppgiftsincidenterna

IMY identifierade 2022 behovet av att effektivisera processen för hantering av incidenter. Beslutet att utvecklingsarbetet ska bedrivas i projektform togs i april 2023. IMY såg också behov av tydligare rutiner och stöd för personalen i handläggningen av incidenter. Målet är att implementera ett digitalt ärendehanteringssystem som kan automatisera hanteringen av anmälda incidenter och effektivisera det riskbaserade urvalet av incidenterna. Detta system förväntas bli upphandlat under 2024.[240]

För att det nya ärendesystemet ska fungera väl är det avgörande att informationen i incidentanmälningarna är korrekt och fullständig. IMY arbetar med att förbättra vägledningen så att verksamheterna kan fylla i formuläret korrekt.[241]

3.2.7 IMY följer inte upp vårdens och omsorgens behov av stöd

IMY har inte undersökt vilket stöd olika verksamheter, inklusive vården och omsorgen, behöver när det gäller informationssäkerhet för personuppgifter. IMY har inte heller utvärderat hur deras befintliga vägledning och stöd för informationssäkerhet fungerar för vård- och omsorgsgivare. Anledningen till det är enligt IMY att en sådan utvärdering kan liknas vid en tillsyn där det bedöms om vårdgivare och omsorgsgivare drar nytta av att följa regelverket. I stället anser IMY att de kan förstå behoven och förbättra sin vägledning genom dialog med externa aktörer.[242] Statskontoret rekommenderade IMY 2020 att följa upp om effekterna av myndighetens stöd- och vägledningsinsatser svarar mot olika målgruppers behov.[243]

3.3 Socialstyrelsen brister i sin styrning av vårdens informationssäkerhet och ger inte specifikt stöd

Socialstyrelsen har meddelat föreskrifter och allmänna råd om journalföring och personuppgiftsbehandling vilka kompletterar PDL. Föreskrifterna gäller inte för omsorgsverksamhet inom socialtjänsten. Socialstyrelsen har inte meddelat föreskrifter till NIS-lagen vilket har begränsat IVO:s möjligheter att bedriva tillsyn av säkerheten i vårdgivarnas nätverk och informationssystem. Socialstyrelsen har tagit fram en handbok till stöd för vårdgivarnas tillämpning av föreskrifterna kring journalföring och personuppgiftsbehandling, men den bidrar i begränsad omfattning till informationssäkerhetsarbetet. Socialstyrelsen ger inte specifikt stöd till vård- och omsorgsgivares informationssäkerhetsarbete eftersom de inte anser att det ingår i deras uppdrag. Myndigheten saknar också kompetens inom informationssäkerhet.

3.3.1 Socialstyrelsens föreskrifter omfattar enbart vården

För att komplettera och precisera kraven i PDL har Socialstyrelsen meddelat föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i vården.[244] Föreskrifterna gäller endast för vården och innehåller bestämmelser för hantering och skydd av personuppgifter.[245] Socialstyrelsen har tagit fram en handbok som stöd till vårdgivare vid tillämpningen av föreskrifterna.[246] Socialstyrelsen tillhandahåller också ett webbaserat stöd som beskriver regelverket för informationshantering utifrån gällande rätt.

Omsorgsverksamheter inom socialtjänsten hanterar liknande känsliga personuppgifter som vården. Dessa uppgifter regleras i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Fram till den 1 mars 2024 berörde inte lagen informationssäkerhet, vilket innebar att kravet på att skydda personuppgifter inte var lika tydligt för omsorgsgivare som för vårdgivare.[247]

3.3.2 Stödet för tillämpning av bestämmelserna är otillräckligt

Våra intervjuer med två regioner och sex kommuner visar att Socialstyrelsens stöd när det gäller informationssäkerhetsarbetet är otillräckligt för deras behov. Trots föreskrifterna om journalföring och behandling av personuppgifter och handboken saknar de stöd med konkreta exempel på hur de ska tillämpa bestämmelserna praktiskt. Regioner och kommuner efterfrågar stöd som är anpassat efter vård- och omsorgsverksamheter och behöver stöd för att tolka bestämmelserna, särskilt i situationer som kräver svåra uttolkningar av regelverket vid avvägningar mellan informationssäkerhet, integritet och patientsäkerhet.

En av regionerna anser att föreskrifterna och handboken är föråldrade och inte följer utvecklingen efter att dataskyddsförordningen och NIS-lagen trädde i kraft. Som ett exempel på svår avvägning nämner regionen att PDL och Socialstyrelsens föreskrifter ställer specifika krav på åtkomst av patienters identitet, men att leverantörer av medicinteknisk utrustning inte kan leverera produkter med tillräckligt stark autentisering.[248] En annan region anser att Socialstyrelsen skulle kunna ge mer konkret vägledning, till exempel om vilka större risker som finns inom vården och omsorgen och hur de kan förhålla sig till riskerna.[249] (Se avsnitt 3.2.2 för mer om vård- och omsorgsgivarnas behov av stöd.)

Företrädare för MSB anser att Socialstyrelsens föreskrifter inte är tillräckligt utförliga och omfattar journalsystem men inte andra IT‑system inom vården.[250]

Socialstyrelsen har inte uppdaterat föreskrifterna eller handboken sedan 2016.[251] Socialstyrelsen menar att det är ett resurskrävande arbete att revidera föreskrifterna. De behöver först samla och sammanställa alla synpunkter som de fått in och skapa sig en bild av vad som ska förändras, och sedan behöver flera remissrundor göras innan en förändring kan göras. Socialstyrelsen har fått flera synpunkter, till exempel att loggar och signeringskravet behöver ses över.[252]

3.3.3 Socialstyrelsen ger inte stöd vid tolkning av bestämmelserna

Socialstyrelsen ger inte vård- och omsorgsgivare stöd vid tolkning av bestämmelserna om hur de kan skydda personuppgifter i praktiken. Socialstyrelsen återger oftast bara vad som står i PDL eller föreskrifterna. En viktig förklaring till det är att Socialstyrelsen inte tolkar lagstiftningen som berör informationssäkerhet, varken generellt eller i enskilda fall. Det innebär att myndigheten inte ger konkret stöd om vilka säkerhetsåtgärder som är lämpliga för att skydda personuppgifter.[253] En annan orsak är att Socialstyrelsen saknar kompetens inom informationssäkerhet. Företrädare för myndighetens rättsavdelning uppger att de är medvetna om att detta begränsar Socialstyrelsens stödjande insatser. Ett viktigt skäl till att myndigheten inte ger konkret stöd om hur bestämmelserna kan tillämpas i enskilda fall är att det ofta saknas rättspraxis och att rättsläget är oklart. Socialstyrelsen anser därför att det finns en risk med att tolka lagstiftningen och är försiktig med att ge konkret stöd i enskilda fall när rättsläget är oklart eftersom en tillsynsmyndighet eller en domstol kan göra en annan bedömning. Socialstyrelsen anser att eventuellt konkret stöd från dem kan komma att ifrågasättas senare av andra aktörer, vilket enligt myndigheten kan leda till ökade kostnader för vård- och omsorgsgivare och eventuellt leda till skadeståndskrav mot Socialstyrelsen.[254]

Ingen av de sex intervjuade kommunerna och de två regionerna har sökt stöd från Socialstyrelsen eftersom de uppfattar att myndigheten inte ger stöd vid tolkning av regelverken. SKR betonar att de upplever att Socialstyrelsen inte har en tydlig roll i att ge stöd till vården och omsorgen rörande informationssäkerhet.[255]

Företrädare för rättsavdelningen anser att Socialstyrelsen inte har ett tydligt uppdrag att ge stöd till vårdens och omsorgens informationssäkerhetsarbete eftersom informationssäkerhet inte nämns i myndighetens instruktion. De anser att IMY har kompetens inom informationssäkerhet och är den myndighet som ska ge stöd i sådana frågor. När det gäller NIS-lagen anser Socialstyrelsen att de har ett snävt uppdrag och enbart ska normera via föreskrifter till lagen.[256]

3.3.4 Socialstyrelsen har inte tagit fram föreskrifter till NIS-lagen vilket har begränsat vägledning och tillsynen

Socialstyrelsen har inte utfärdat föreskrifter om säkerhetsåtgärder för vårdsektorn enligt den så kallade NIS-lagen som trädde i kraft 2018. Det innebär att vården inte har fått vägledning om vad som krävs för att de ska uppfylla kraven på säkerhetsåtgärder för informationssäkerhet i informationssystem där känsliga personuppgifter behandlas. Det har också begränsat IVO:s tillsyn av säkerheten i vårdens nätverk och informationssystem (se avsnitt 4.2.1).

Företrädare för SKR betonar att kommuner och regioner vill ha tydlig vägledning om vad som förväntas av dem för att de ska kunna leva upp till NIS-lagen.[257] De två intervjuade regionerna anser att de behöver föreskrifter till NIS-lagen när de ska vidta säkerhetsåtgärder för att skydda informationen.[258]

Syftet med NIS-lagen är att uppnå hög nivå på säkerheten i nätverk och informationssystem. Regeringen har i Socialstyrelsens regleringsbrev för 2019 och 2020 ställt rapporteringskrav på myndigheten att redovisa arbetet med föreskrifter till NIS-lagen.[259] Socialstyrelsen bedömer att beslut om föreskrifter kommer att fattas först under våren 2024.[260] Socialdepartementet har inte följt upp varför Socialstyrelsen inte har tagit fram föreskrifter.[261] Andra sektorsmyndigheter, såsom Post- och telestyrelsen, Energimyndigheten och Transportstyrelsen, meddelade föreskrifter och allmänna råd till NIS-lagen under 2021 och 2022.

Socialstyrelsen saknar kompetens och dröjde med att söka stöd

Enligt Socialstyrelsen är brist på kompetens samt pandemin viktiga orsaker till att arbetet med föreskrifter till NIS-lagen dröjer. När NIS-lagen trädde i kraft saknade Socialstyrelsen den kompetens inom informationssäkerhet och av vårdens informationstekniska behov som behövs för att kunna ta fram föreskrifterna. Under 2020 och 2021 prioriterade rättsavdelningen arbetet med covid-19 pandemin.[262]

För att skaffa nödvändig kompetens försökte Socialstyrelsen upphandla en konsult i oktober 2020 men fick inga anbud trots flera försök, troligen på grund av den låga omfattningen av uppdraget. Socialstyrelsen sökte därefter stöd från IVO som erbjöd sig att bistå med kompetens. IVO och Socialstyrelsen hade åtta möten under 2021 och 2022 om arbetet med föreskrifterna. IVO lämnade i september 2023 synpunkter på Socialstyrelsens utkast till föreskrifter.[263]

Socialstyrelsen har inte involverat vårdgivare i arbetet med att ta fram föreskrifterna till NIS-lagen, vilket har begränsat deras möjlighet att bidra med sina perspektiv.

Socialstyrelsen har inte samarbetat med MSB för att ta fram föreskrifterna eftersom de ansåg att MSB saknade den kompetens som behövdes.[264] MSB har varit sammankallande till ett samarbetsforum för NIS-lagen där arbetet med föreskrifterna har diskuterats men Socialstyrelsen deltog endast i början.[265] Enligt Socialstyrelsen slutade de att delta eftersom fokus skiftade från föreskriftsarbete till tillsyn.[266]

Socialstyrelsen använder inte IT‑incidentrapportering från vården

Socialstyrelsen får vårdens IT‑incidentrapporter från MSB men använder inte dem i arbetet med föreskrifter till NIS-lagen eller för att förbättra stödet. Detta trots att incidentrapporterna kan vara ett underlag när nya föreskrifter avseende tekniska och organisatoriska åtgärder ska tas fram[267] och ett underlag för att utveckla.[268] Men företrädare för Socialstyrelsens rättsavdelning anser att det inte är användbart att analysera dessa incidentrapporter. Avdelningen för krisberedskapen var fram tills 2022 mottagare av incidentrapporterna men har inte heller använt dem i sitt arbete.[269]

3.3.5 Få kommuner använder statsbidrag som bland annat kan användas för att stärka informationssäkerheten

På uppdrag av regeringen fördelade Socialstyrelsen varje år mellan 2021 och 2023 knappt 4 miljarder kronor till kommuner för att säkerställa god vård och omsorg av äldre personer. Medlen fick användas utifrån lokala behov i syfte att förbättra och utveckla hela verksamheten, däribland informationssäkerheten.[270]

Socialstyrelsens uppföljning av statsbidragets användning under 2021 och 2022 visar att 30 respektive 35 av 290 kommuner har använt statsbidraget för att stärka informationssäkerheten för olika digitala lösningar. Dessa kommuner har dessutom i mycket låg utsträckning använt statsbidraget för att stärka informationssäkerheten.[271] Åtgärderna som vidtagits med hjälp av statsbidragen har framför allt handlat om att införa Klassa-verktyget från SKR, säkerställa behörig åtkomst till digitala läkemedelsskåp, införa tvåfaktorsinloggning och genomföra informationssäkerhetsutbildningar.[272]

3.3.6 Socialstyrelsen följer upp kommunernas informationssäkerhetsarbete …

Socialstyrelsen har i årliga uppföljningar av kommunernas informationssäkerhetsarbete identifierat flera brister (se avsnitt 2.4)[273] men har inte använt informationen systematiskt för att utforma stödjande insatser till kommunernas informationssäkerhetsarbete. Socialstyrelsen sammanställer resultaten i årliga rapporter och i ett webbverktyg där kommunerna kan ta del av sitt resultat och jämföra sitt resultat med andras. Socialstyrelsen ger inte individuell återkoppling till enskilda kommuner på grund av resursbrist. Enligt Socialstyrelsen är det upp till kommunerna att använda sig av resultaten i sin verksamhetsutveckling.[274] Socialstyrelsen har bedömt att ett utökat nationellt stöd kan främja de konstaterade bristerna i framför allt mindre kommuner.[275] Socialstyrelsen har inte specificerat vilket stöd som behövs eller vilken nationell aktör som bör tillhandahålla detta stöd i sin rapport till regeringen.[276] Enligt Socialstyrelsen har myndigheten inte ett uttryckligt uppdrag att följa informationssäkerhetsarbetet, utan det har de gjort på eget initiativ.[277]

Enligt Socialdepartementet har regeringen inte haft diskussioner med Socialstyrelsen om deras förslag på nationellt stöd. Däremot har frågan diskuterats på tjänstemannanivå, och då har det handlat om att mindre kommuner saknar tillräcklig kompetens och tillräckliga resurser för att åtgärda kända brister. Socialstyrelsens återrapportering var ett av underlagen till regeringens beslut om att stödja SKR:s stödfunktion under 2023 (avsnitt 3.5) och till beslutet om statsbidrag till kommuner som kunde användas för bland annat informationssäkerhet (avsnitt 3.3.5).[278]

3.3.7 … men undersöker inte behovet av stöd

Företrädare för Socialstyrelsen framhåller att de eftersträvar att ta fram stöd som så långt som möjligt är anpassat efter målgruppernas behov.[279] Socialstyrelsen har dock inte undersökt vilket stöd vården och omsorgen behöver när det gäller informationssäkerhet. Dessutom har Socialstyrelsen inte undersökt om deras föreskrifter och handbok[280] möter vårdens behov av stöd. Enligt rättsavdelningen får Socialstyrelsen vissa indikationer på behovet av förbättringar i sina föreskrifter genom möten och konferenser med olika aktörer. Trots regelbundna kontakter med SKR och IVO tas informationssäkerhet sällan upp som en separat punkt.[281]

3.4 Stödet vid allvarliga incidenter är begränsat

IMY ger inte operativt stöd vid allvarliga personuppgiftsincidenter och MSB ger sällan operativt stöd vid allvarliga IT‑incidenter till vårdgivare. Vård- och omsorgsgivare som drabbas av allvarliga IT‑incidenter, till exempel cyberangrepp, tar oftast stöd av privata konsulter för att lindra effekterna av det inträffade. Omsorgsgivare, som inte omfattas av NIS-lagen, kan söka stöd hos MSB men är beroende av myndighetens prioriteringar för att kunna få stöd.

3.4.1 MSB ger sällan operativt stöd vid allvarliga IT‑incidenter

MSB:s CERT-funktion ska agera skyndsamt vid IT‑incidenter genom att sprida information och vid behov samordna åtgärder och medverka i det arbete som krävs för att avhjälpa eller lindra effekter av det inträffade.[282] Det kan exempelvis gälla vid cyberangrepp. Såväl vård- som omsorgsgivare kan anmäla IT‑incidenter till MSB som erbjuder stöd i mån av tid och resurser. MSB prioriterar vårdgivare som bedriver samhällsviktig verksamhet enligt NIS-lagen.[283]

Vår granskning visar att antalet fall där MSB gett operativt stöd för att lindra effekterna av inträffade incidenter är få. MSB ger framför allt råd om hur incidenten kan hanteras utifrån tidigare erfarenheter eller annan information. Enligt MSB är det dock den enskilda verksamheten som måste hantera konsekvenserna av en inträffad IT‑incident i sina system eftersom den har tillgång till de specifika systemen och detaljkunskaper om IT‑miljöns utformning, komponenter och konfiguration. MSB anser att de har svårt att ge operativt stöd utan att ha den kunskapen.[284]

Riksrevisionen har granskat information från MSB och två kommuner som drabbades av cyberangrepp i december 2022.[285] I dessa fall följde MSB de krav som NIS-förordningen ställer genom att ta emot anmälningar och hålla kontakt med verksamheterna. Båda kommunerna hanterade de direkta konsekvenserna av cyberangreppet i sina IT‑system med hjälp av privata konsultföretag eftersom MSB inte kan ge sådant stöd. Sådan hantering kan vara kostsam och kommunen som vi har intervjuat uppger att de betalade drygt 2,5 miljoner kronor för att hantera de akuta konsekvenserna av angreppet.

I granskningen framkommer också att det kan vara oklart vilket stöd MSB kan bidra med vid cyberangrepp. En kommun som drabbats av cyberangrepp hade förväntningar om att MSB kunde bidra med mer operativt stöd än vad myndigheten gjorde.[286]

3.4.2 IMY ger inte stöd vid personuppgiftsincidenter

När verksamheter, däribland vårdgivare eller omsorgsgivare, anmäler personuppgiftsincidenter till IMY kan de inte få stöd i att hantera dem, till exempel vid allvarliga händelser såsom ett cyberangrepp.[287] Enligt IMY beror det på att myndigheten inte har i uppdrag att ge sådant stöd. IMY kommer sällan i kontakt med verksamheten som har anmält incidenten förrän en eventuell tillsyn inleds, vilket sker mycket sällan. Företrädare för IMY anser att det behövs en stödfunktion som den drabbade verksamheten snabbt kan komma i kontakt med eftersom det är viktigt att vidta åtgärder så tidigt som möjligt vid ett cyberangrepp.[288]

3.5 SKR:s stöd till vård- och omsorgsgivares informationssäkerhetsarbete

Kommunerna har nytta av SKR:s Klassa-verktyg för klassificering av information. Men de kommuner som intervjuats i granskningen upplever inte att SKR i övrigt ger tillräckligt med stöd till deras informationssäkerhetsarbete. Nätverket som SKR driver är värdefullt för övergripande diskussioner men har begränsad praktisk nytta för informationssäkerhetsarbetet, enligt de intervjuade kommunerna.

SKR tillhandahåller verktyget Klassa för klassificering av information som ska skyddas i vård och omsorg. Alla intervjuade kommuner använder och har nytta av verktyget när de klassificerar information efter hur allvarliga konsekvenserna skulle bli av bristande informationssäkerhet. Två kommuner betonar att verktyget är konkret, bland annat eftersom den ger förslag på säkerhetsåtgärder utifrån lagrum.[289]

Inom ramen för en överenskommelse med regeringen[290] skapade SKR stödfunktionen Kompetenscentrum Välfärdsteknik. Ett syfte var att ge råd, stöd och vägledning i frågor om bland annat informationssäkerhet. Myndigheten för vård- och omsorgsanalys (Vård- och omsorgsanalys) som utvärderat överenskommelsen konstaterade att stödfunktionen har stöttat kommunerna i praktiska verksamhetsfrågor men inte prioriterat stöd för övergripande och strukturella frågor såsom informationssäkerhet. Socialcheferna understryker att kompetenscentret har haft begränsad påverkan på deras arbete med informationssäkerhet, särskilt när det gäller IT‑säkerhet. Vård- och omsorgsanalys konstaterade också att samverkan rent allmänt mellan SKR och myndigheterna var begränsad och inte fungerade effektivt.[291] I vår granskning uppger majoriteten av de intervjuade kommunerna att de inte känner till SKR:s stödfunktion.[292] Överenskommelsen omfattade också tilldelning av medel, men endast 10 procent av kommunerna använde medlen för sitt informationssäkerhetsarbete.[293]

SKR bedriver också nätverk för informationssäkerhet i regioner och kommuner.[294] Ett av dessa är KIS som riktar sig till dem som ansvarar för informationssäkerhetsarbetet i kommunerna. Enligt SKR deltar cirka 180 av 290 kommuner. En intervjuad kommun anser att nätverket ger relevant övergripande information men att det är svårt att föra över kunskapen till personalen som hanterar informationen i verksamheterna.[295] Två andra kommuner anser att nätverken fungerar bra som omvärldsbevakning och som forum för diskussioner men att nyttan är begränsad. Diskussionerna är på övergripande nivå och handlar främst om utmaningar.[296]

3.6 Regeringen har vidtagit få åtgärder för att stärka vårdens och omsorgens informationssäkerhet

Regeringens åtgärder har fokuserat på det generella stödet för samhällets informationssäkerhetsarbete. För att stärka informationssäkerhetsarbetet i kommunerna har regeringen ingått överenskommelser med SKR (avsnitt 3.5.), fattat beslut om statsbidrag (avsnitt 3.3.5.) och tillsatt utredningar. Regeringen har dock vidtagit få särskilda åtgärder för att stödet till vården och omsorgen ska bli mer anpassat till de behov som finns inom sektorn.

3.6.1 Regeringens arbete för att stärka samhällets informations- och cybersäkerhet har inte varit effektivt

Regeringen antog en nationell strategi för samhällets informations- och cybersäkerhet 2017, som riksdagen ställde sig bakom. Ett huvudsyfte var att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet.[297] Riksrevisionen konstaterade i en granskning från 2023 att regeringens arbete för att stärka samhällets informations- och cybersäkerhet inte har varit effektivt. Den centrala bristen är avsaknad av strategiska avvägningar och prioriteringar som inriktar arbetet. Riksrevisionen konstaterade också att strategin saknar en tydlig vision, uppföljningsbara målsättningar, ansvariga för att genomföra åtgärder och tilldelade resurser för arbetet. Det saknas i stort resonemang om målsättningar eller åtgärder kopplat till olika aktörer eller sektorer. Sammantaget gör detta att departement och myndigheter arbetar utifrån sina respektive mål och prioriteringar. Enligt Riksrevisionen riskerar det att leda till att de åtgärder som vidtas inte får effekt, men också till ett ineffektivt resursutnyttjande.[298]

Regeringen ansåg vidare i strategin att en nationell modell för informations- och cybersäkerhet bör tas fram för att stärka informationssäkerhetsarbetet hos samhällets aktörer. Denna syftar till att underlätta för aktörer att göra mer enhetliga bedömningar av risker, hot och säkerhetsåtgärder,[299] vilket enligt Riksrevisionens granskning skulle kunna bidra till att skapa en grundnivå för säkerhetsåtgärder. Men någon nationell modell har inte tagits fram.[300] Regeringskansliet har inlett arbetet med att ta fram en ny informations- och cyberssäkerhetsstrategi.[301]

3.6.2 Regeringen har fokuserat på att stärka det generella stödet för samhällets informationssäkerhet

Regeringen gav 2018 i uppdrag till bland annat MSB[302] att ta fram en samlad handlingsplan för arbetet med samhällets informations- och cybersäkerhet utifrån målen i nationella strategin. Handlingsplanen gällde för åren 2019–2022.[303] Regeringen gav 2018 också MSB i uppdrag att utveckla metodstödet för systematiskt informationssäkerhetsarbete och att genomföra utbildningsinsatser till kommuner och regioner.[304] Regeringen gav även MSB i uppdrag 2022 att stärka sitt stöd för aktörers arbete med att förebygga och hantera IT‑incidenter samt att utveckla och förenkla stödet för informations- och cybersäkerhet.[305] (Se avsnitt 3.1.1.) För att stärka MSB:s stöd till drabbade aktörer vid IT‑incidenter utökade regeringen MSB:s anslag med 20 miljoner kronor för 2024.[306]

På uppdrag av regeringen har MSB reviderat sina föreskrifter om informationssäkerhet för statliga myndigheter, och tagit fram nya föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter, med tillhörande vägledning för att underlätta tillämpning.[307]

3.6.3 Flera utredningar berör informationssäkerhet

Regeringen har tillsatt utredningar som berör delning av data och dataanvändning samt informationssäkerhet inom vård och omsorg.

Regeringen tillsatte i juni 2022 en utredning för att analysera och föreslå åtgärder för en bättre och säkrare informationsförsörjning av hälsodata mellan system och aktörer i vården och omsorgen. Utredningen skulle bland annat redovisa hur föreslagna åtgärder förhåller sig till informationssäkerhet.[308] Utredningen lämnade ett delbetänkande i december 2023 och bedömer att det finns en rättslig osäkerhet bland hälso- och sjukvårdens aktörer om hur olika bestämmelser för att hantera information ska tolkas. Denna osäkerhet har enligt utredningen i många fall lett till felaktiga uppfattningar om rättsliga hinder för hantering och delning av information, och till att olika aktörer gör olika bedömningar. Utredningen bedömer att aktörerna inom hälso- och sjukvården bör erbjudas stöd för att tolka och tillämpa lagreglerna. Utredningen föreslår att E-hälsomyndigheten ska få i uppgift att samordna de statliga myndigheternas stöd och vägledning i juridiska frågor rörande hanteringen av information för hälso- och sjukvårdens digitalisering.[309]

Europaparlamentet och rådet antog 2022 två nya EU-direktiv: direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) och direktivet om kritiska entiteters motståndskraft (CER-direktivet). Regeringen tillsatte i februari 2023 en utredning för att föreslå de anpassningar av svensk rätt som är nödvändiga för att direktiven ska kunna genomföras.[310] Utredningen om genomförande av NIS2- och CER-direktiven lämnade ett delbetänkande den 5 mars 2024 och föreslår att NIS2-direktivet införlivas genom en ny lag, cybersäkerhetslagen och att den tidigare NIS-lagen upphävs. NIS2-direktivet skärper kraven för verksamhetsutövare och syftet är att uppnå en högre cybersäkerhet. Utredningen föreslår därför att fler verksamheter och sektorer ska omfattas av den föreslagna cybersäkerhetslagen och att bestämmelserna ska gälla för hela verksamheten och inte bara för samhällsviktiga och digitala tjänster. Utredningen föreslår att kommuner ska omfattas av lagen. Bestämmelserna innebär bland annat att verksamhetsutövare ska vidta åtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete samt att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.[311] Eftersom kommunen som sådan – frånsett kommunfullmäktige – föreslås omfattas av de nya bestämmelserna kan det även innebära att omsorgsgivare omfattas av bestämmelserna i viss utsträckning. Verksamhetsutövare av omsorg omfattas dock inte explicit av bestämmelserna. Riksrevisionen bedömer att tillämpningsområdet för bestämmelserna behöver förtydligas när det gäller omsorgsgivare i det fortsatta lagstiftningsarbetet som pågår i Regeringskansliet.

3.6.4 Det saknas tydlig reglering av säkerhetsåtgärder för socialtjänstens personuppgiftsbehandling

Inom vården finns reglering om säkerhetsåtgärder i PDL men motsvarande bestämmelser saknas i lagstiftningen som reglerar socialtjänstens personuppgiftsbehandling, trots att socialtjänsten behandlar personuppgifter som är känsliga på samma nivå som de personuppgifter som behandlas inom vården.[312] Nya bestämmelser som trädde i kraft den 1 mars 2024 ställer krav på omsorgsgivare att arbeta systematiskt med behörighetstilldelning och kontroll.[313]

Sedan den 1 januari 2023 kan vård- och omsorgsgivare på frivillig basis dela personuppgifter elektroniskt enligt lagen om sammanhållen vård- och omsorgsdokumentation. För att kunna göra det krävs att journalsystemen har inbyggda funktioner för identifiering, behörighetskontroll och loggning. De vård- och omsorgsgivare som ansluter sig omfattas av bestämmelser i lagen som till viss del innebär att kraven på skydd av personuppgifter ökar för omsorgsgivare. Det handlar främst om tilldelning av behörighet för intern elektronisk åtkomst och kontroll av elektronisk åtkomst till personuppgifter.

För att bland annat regleringarna om säkerhetsåtgärder inom vissa delar av äldreomsorgen och vården ska bli mer lika antog riksdagen regeringens proposition 2022/23:131 Välfärdsteknik inom äldreomsorgen. Genom ändringen, som trädde i kraft den 1 mars 2024, införs bestämmelser i lagen om behandling av personuppgifter inom socialtjänsten som tydliggör vilka säkerhetsåtgärder som ska finnas för att kraven i dataskyddsförordningen ska uppfyllas vid användningen av vissa välfärdstekniker.[314] Riksrevisionen konstaterar dock att detta inte kommer att medföra en generell förstärkning av skyddet för personuppgifter inom socialtjänsten eller ens alla biståndsinsatser som är riktade mot äldre. Ändringen avser vissa krav på behörighetstilldelning och kontroll av sådana behörigheter. När det gäller säkerhetsåtgärder avser ändringen endast bistånd i form av hemtjänst eller boende i särskilda boendeformer för äldre och vid användning av digital teknik. Lagrådet ifrågasatte begränsningen till en del av verksamheten och konstaterade att den osäkerhet som kommuner uttryckt angående lagstödet för att använda digital teknik generellt kommer att kvarstå.[315]