Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

4. Tillsyn av vårdens och omsorgens informationssäkerhet

I detta kapitel besvaras den andra delfrågan: Är myndigheternas tillsyn av vårdens och omsorgens informationssäkerhet effektiv? Detta är våra viktigaste iakttagelser:

  • IMY har sedan 2018 genomfört begränsad tillsyn av vårdgivares informationssäkerhetsarbete och ingen tillsyn av omsorgsgivares. Bidragande orsaker är ökat fokus på hantering av klagomål från enskilda och ineffektiv handläggning med årslånga handläggningstider.
  • IVO bedriver ingen tillsyn av omsorgsgivares informationssäkerhet och sällan av mindre vårdgivares. IVO har dessutom begränsat sin tillsyn enligt NIS-lagen till vårdgivarnas underlag till riskanalyser och åtgärdsplaner. Tillsynen ger därmed inte fullt ut svar på om vårdgivarna har en hög informationssäkerhet och om de bedriver ett systematiskt informationssäkerhetsarbete.
  • IVO och IMY har framför allt inriktat tillsynen mot större regionala och kommunala vårdgivare som hanterar stora mängder personuppgifter. Mindre kommunala och enskilda vårdgivare omfattas i mindre utsträckning av tillsyn. IMY inleder också sällan riskbaserad tillsyn och genomför inte systematiska riskanalyser. Det är oklart i vilken utsträckning tillsynen inriktas mot verksamheter där den ger mest nytta.
  • IMY och IVO har inte följt upp tillsynens resultat och det är därför oklart vilken effekt tillsynen har på vårdens och omsorgens informationssäkerhet.

Avsnitt

4.1 IMY:s tillsyn är delvis riskbaserad och begränsad och tar för lång tid att genomföra

IMY:s tillsyn av informationssäkerheten i vården och omsorgen är i flera avseenden begränsad. IMY har mellan 2018–2022 genomfört begränsad tillsyn av vårdgivares informationssäkerhetsarbete inom vården och ingen alls inom kommunal vård och omsorg. Handläggningstiderna för de avslutade tillsynsärendena är mycket långa. Tillsynen ger därmed ett begränsat bidrag till utvecklingen av praxis, och därmed begränsad vägledning till vårdgivare om vad som krävs av dem för att uppfylla lagens krav. Tillsynen är sällan riskbaserad och utgår främst från klagomål från personer. IMY har inte följt upp tillsynens resultat och det är därför oklart vilken effekt tillsynen har på vårdens informationssäkerhet.

4.1.1 IMY:s tillsyn är delvis riskbaserad och inriktad mot verksamheter där konsekvenserna av brister kan bli störst

IMY har delvis haft ett riskbaserat tillvägagångssätt vid prioritering av den tillsyn som ska genomföras. En konsekvens är att det inte går att avgöra om de prioriterade områdena och verksamheterna för tillsyn är de med största risker för bristande skydd för personuppgifter, eller om tillsynen gör mest nytta där.

IMY har i urvalet av verksamheter för tillsyn i huvudsak utgått från var konsekvenserna av eventuella brister för skyddet av personuppgifter skulle bli störst, och i mindre utsträckning utgått från vilka verksamheter som har störst brister. Det har resulterat i att tillsynen framför allt inriktats mot större regionala vårdgivare. IMY identifierade och prioriterade regionala vården för tillsyn i sin tillsynsplan för 2019–2020. Kommunal vård och omsorg som hanterar liknande känsliga personuppgifter och har betydande brister i sitt informationssäkerhetsarbete sågs inte som ett riskområde.[316] Vare sig vården eller omsorgen identifierades som prioriterade riskområden i tillsynsplanerna för 2021–2023.[317] Anledningen till detta är enligt IMY är att de behövde göra prioriteringar på grund av underfinansierad verksamhet.[318]

IMY har inte dokumenterat riskanalyserna eller underlagen som använts för att välja tillsynsobjekt.[319] Det försvårar insyn i vilka källor analysen bygger på, vilka problem och risker inom informationssäkerhet som IMY anser vara störst, vilka sektorer som är mest drabbade och hur IMY har prioriterat bland dessa risker och sektorer.

Vår genomgång av IMY:s genomförda tillsynsärenden inom vården 2018–2022 visar att ärendena var delvis riskbaserade och delvis händelsestyrda. IMY:s tillsyn av åtta vårdgivare i mars 2019 utgick från tidigare erfarenheter och kunskap om risker.[320] De övriga tillsynsärendena inleddes direkt efter medierapportering om risker eller efter personuppgiftsincidenter och klagomål. Sådana tillsynsärenden har vi sett som händelsestyrd tillsyn, till exempel tillsynen av 1177 och av Region Uppsala.

IMY bedömer riskområden utifrån en samlad bild av personuppgiftsincidenter, klagomål och omvärldsbevakning. Vid riskbaserad tillsyn ska IMY ta hänsyn till faktorer som behov av vägledande praxis, ny teknik och konsekvenser för många.[321] IMY har inte beaktat rapporter från Socialstyrelsen eller MSB som identifierar brister i regioners och kommuners informationssäkerhet. IMY har inte heller analyserat mörkertalet av personuppgiftsincidenter för att rikta tillsynen mot de vård- och omsorgsgivare som inte rapporterar eller som sällan gör det.[322]

IMY:s mål är att tillsynen ska etablera praxis och främja lärande, genomföras effektivt och rättssäkert och ha en positiv effekt på individuella ärenden och samhällets integritetsskydd. IMY har inte satt specifika kvantitativa mål för antalet tillsynsärenden eller resurserna för tillsynen. I stället siktar IMY på att initiera och avsluta fler tillsynsärenden jämfört med föregående år.[323]

4.1.2 Begränsad tillsyn av vårdens informationssäkerhet och ingen av omsorgens

Mellan 2018 och 2022 genomförde IMY ett fåtal tillsynsärenden av vårdgivarnas informationssäkerhet inom vården, och inga alls inom kommunal vård och omsorg.[324] En konsekvens av detta är att tillsynen inte i tillräcklig utsträckning bidrar till att skapa praxis och därigenom stärka informationssäkerheten.

Totalt inledde IMY 279 och avslutade 172 tillsynsärenden enligt dataskyddsförordningen i alla sektorer (se diagram 1). När det gäller tillsynsärenden inom vården inledde IMY 16 och avslutade 14 tillsynsärenden under samma period. I de flesta fallen ledde besluten av tillsynsärenden inom vården till sanktionsavgifter på mellan 250 000 kronor och 30 miljoner kronor.[325] Under 2022 inledde IMY tillsyn av tre vårdgivare men ingen av dessa avslutades under året.[326]

Diagram 1 Antal tillsynsärenden enligt dataskyddsförordningen i alla sektorer, 2018–2022

Källa: IMY:s årsredovisningar för 2021 och 2022.

IMY anser att de inte har uppnått målet om fler tillsynsärenden och att det huvudsakligen beror på att myndigheten har inlett och avslutat för få tillsynsärenden inom dataskydd.[327] Trots en ökning mellan 2020 och 2022 anser IMY att det totala antalet tillsynsärenden var betydligt lägre än förväntat. Det beror på att större delen av tillsynen var baserad på klagomål från personer som ansåg att deras personuppgifter behandlades felaktigt,[328] snarare än på planerad eller riskbaserad tillsyn vilket minskade avsevärt under samma period.[329] Till skillnad från riskbaserad tillsyn är den klagomålsbaserade tillsynen av begränsad omfattning[330] eftersom den bara fokuserar på de brister som klaganden framför. De flesta klagomål handlar om att enskildas rättigheter enligt dataskyddsförordningen inte blivit tillgodosedda, till exempel rätten till radering av personuppgifter från register. En mindre del av klagomålen handlar om säkerhetsbrister, till exempel att personuppgifter har skickats i okrypterade mejl.[331] Klagomålsbaserad tillsyn ger därför begränsad effekt på informationssäkerhetsarbetet.

IMY har prioriterat klagomålsbaserad tillsyn på grund av ett beslut från EDPB, vilket innebär att IMY sedan 2021 anser att de måste bedöma varje klagomål och inleda tillsyn vid behov. Detta har lett till att IMY behöver bedöma drygt 2 000 enskilda klagomål årligen, vilket enligt IMY är mycket resurskrävande.[332] Under 2023 ökade antalet inkomna klagomål med nästan 50 procent.[333]

För att hantera klagomålen har IMY flyttat resurser från andra verksamhetsområden vilket har påverkat deras förmåga att inleda och avsluta tillsynsärenden i tid. IMY har inte klarat av att utreda alla klagomål i tid och inleda all tillsyn som borde ha inletts. Sedan 2020 har IMY ackumulerat stora ärendebalanser[334] inom klagomåls- och tillsynsverksamheten.[335] Enligt IMY beror obalanser främst på gränsöverskridande klagomål som kräver samverkan med andra dataskyddsmyndigheter.[336] Den genomsnittliga handläggningstiden för klagomål ökade från 11 dagar 2020 till 73 dagar 2022. Denna ökning beror enligt IMY främst på de gränsöverskridande klagomålen och bristande resurser.[337]

IMY anser att deras organisation behöver blir mer effektiv. För att minska obalanser och handläggningstider för klagomålen planerar IMY att förbättra sina arbetsprocesser och öka erfarenhetsutbyte och kompetensen bland personalen.[338]

Kommuner som vi har intervjuat vill ha tillsyn av sitt informationssäkerhetsarbete. Bland dem ser två mindre kommuner tillsynen som ett sätt att få vägledning i sitt arbete med informationssäkerhet.[339] Två större kommuner betonar att tillsyn skulle öka ledningens engagemang och att informationssäkerhetsarbetet prioriteras.[340]

4.1.3 Det tar mycket lång tid att genomföra tillsyn

Handläggningstiderna för de avslutade tillsynsärendena är mycket långa och är en viktig förklaring till varför IMY inte kan inleda och avsluta fler tillsynsärenden.[341] Under 2022 var den genomsnittliga handläggningstiden för avslutade tillsynsärenden[342] 223 dagar, jämfört med 321 dagar under 2021 och 319 dagar under 2020. Den minskade tiden under 2022 berodde på att IMY avslutade många tillsynsärenden som var enklare och inte så omfattande.[343] För dessa enklare ärenden (kategori 1 och 2) var handläggningstiden 121 dagar, medan mer omfattande och komplexa ärenden såsom riskbaserad tillsyn (kategori 3 och 4) tog 824 respektive 760 dagar,[344] vilket är långt över IMY:s egna mål.[345]

IMY:s tillsyn av vårdgivarna under 2019 tog ännu längre tid, från cirka 630 till 960 dagar. Dessa tillsynsärenden tillhörde kategori 3 och 4.

4.1.4 Försiktighet vid tolkning av bestämmelserna bidrar till långa handläggningstider

IMY behöver ofta fatta beslut som kan få större genomslag än för det enskilda ärendet. Det finns begränsad domstolspraxis och vägledning från EDPB, vilket gör att IMY behöver tolka dataskyddsbestämmelserna och ta ställning i rättsliga frågor.

Våra intervjuer med företrädare för IMY visar att de fokuserar mycket på rättssäkerhet och är försiktiga med att tolka dataskyddsförordningen, och att de sällan gör rättsliga ställningstaganden i frågor där det saknas praxis eller vägledning. Bristen på rättsliga ställningstaganden minskar myndighetens förmåga att snabbt avgöra rättsliga frågor och leder till att de spenderar betydande tid på interna diskussioner och rättsutredningar för att förankra beslut.[346] IMY har sedan 2020 arbetat med att utveckla och effektivisera sin verksamhet och tillsynsprocessen men detta har inte resulterat i kortare handläggningstider.[347] Antalet avslutade tillsynsärenden per årsarbetskraft i slutet av 2021 låg enligt IMY på en fortsatt mycket låg nivå.[348].

Andra orsaker som begränsar kapaciteten att inleda och avsluta fler tillsynsärende med kortare handläggningstider är enligt IMY brist på finansiering och resurser, stor personalomsättning och resurskrävande överklaganden av besluten.[349] Regeringen är medveten om att IMY har prioriterat ned den riskbaserade tillsynen och att handläggningstiderna och ärendebalanserna har ökat inom en del ärendekategorier. Enligt företrädare för Justitiedepartementet är IMY fullständigt oberoende och regeringen är därför restriktiv i sin styrning av myndigheten.[350] För att stärka IMY:s förmåga att bedriva sin verksamhet höjde regeringen IMY:s ramanslag från cirka 124 miljoner kronor år 2022 till ungefär 172 miljoner kronor år 2023. IMY anser att det ökade anslaget kommer att leda till minskade ärendebalanserna och handläggningstider för tillsyn vid utgången av 2024.[351] Sedan november 2023 har de som lämnat in klagomål till IMY rätt att överklaga besluten, enligt Högsta förvaltningsdomstolens avgöranden. IMY har bedömt att myndigheten blir part i IMY:s klagomåls- och tillsynsärenden. Enligt IMY kommer myndigheten att behöva inleda tillsyn i betydligt fler klagomålsärenden än tidigare, vilket kommer vara resurskrävande och leda till längre handläggningstider. För att hantera detta mer effektivt uppger IMY att de ska införa nya rutiner, digitala verksamhetsstöd och processer för klagomåls- och tillsynshantering under våren 2024.[352]

En annan orsak som påverkar kapaciteten är att juristerna som arbetar med tillsynsärenden också har fått arbeta med klagomålshantering, remisser, förhandsamråd, tillstånd, samverkansfrågor och svar på olika frågor från enskilda och verksamheter. För att använda personalens tid och förmåga mer effektivt har enheter för tillsyn sedan april 2023 i första hand arbetat med tillsyn, klagomål och tillstånd.[353]

4.1.5 IMY följer inte upp resultaten av sin tillsyn

IMY följer inte upp att de verksamheter som varit föremål för tillsyn faktiskt vidtar de åtgärder som IMY har förelagt i tillsynsbesluten. Enligt IMY beror det på att många av IMY:s tillsynsbeslut har överklagats och inte vunnit laga kraft, vilket inte möjliggör uppföljning. IMY saknar en arbetsprocess för att följa upp sina tillsynsbeslut men uppger att de avser att etablera ett sådan process.[354]

4.2 IVO:s tillsyn är begränsad och omfattar vissa delar av informationssäkerheten

IVO:s tillsyn av informationssäkerheten i vården och omsorgen är i flera avseenden begränsad. IVO har inte bedrivit tillsyn av informationssäkerheten i omsorgsverksamheter och mycket sällan i de mindre vårdverksamheter som inte omfattas av NIS-lagen.[355] Den tillsyn som IVO bedriver av vårdgivares informationssäkerhet enligt NIS-lagen omfattar i huvudsak verksamheternas riskanalyser och åtgärdsplaner. Tillsynen har dock inte kontrollerat om de vidtagna säkerhetsåtgärderna är ändamålsenliga och proportionella för att hantera risker som hotar säkerheten i nätverk och informationssystem. Tillsynen ger därför inte ett fullgott svar på om vårdgivarna har en hög informationssäkerhet och om de bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete. Tillsynen ger därmed ett begränsat bidrag till utvecklingen av praxis, och därmed begränsad vägledning till vårdgivare om vad som krävs av dem för att uppnå hög säkerhet i enlighet med lagen. Tillsynen har framför allt inriktats mot större offentliga regionala vårdgivare, medan enskilda vårdgivare och mindre kommunala vårdgivare i mindre utsträckning omfattats av tillsyn. IVO saknar delvis kunskap om utfallet av tillsynen och ger begränsad vägledning inom ramen för enskilda tillsynsärenden.

4.2.1 Tillsynen omfattar inte omsorgsgivare och sällan mindre vårdgivare

IVO har valt att renodla sin tillsyn av informationssäkerhet till att endast gälla NIS-lagen, som omfattar de flesta vårdgivare men inte omsorgsgivare. Anledningen är att NIS-lagen ger IVO ett tydligt ansvar för vissa delar av vårdens informationssäkerhet, att IVO anser att det blir för komplext att fatta beslut om man utgår från flera lagstiftningar samtidigt och att tillsynsbesluten enligt NIS-lagen är möjliga att överklaga.[356]

IVO kan även bedriva tillsyn av informationssäkerhet i vården och omsorgen utifrån annan lagstiftning.[357] Inom omsorgen kan IVO bedriva tillsyn av informationssäkerhet utifrån lagen om behandling av personuppgifter inom socialtjänsten[358] men har aldrig gjort det. Bestämmelserna för omsorgen inte är lika tydliga som de inom vården, vilket enligt IVO begränsar deras möjligheter att bedriva tillsyn.[359] Dessa skillnader i reglering har även påpekats av Socialstyrelsen.[360] När det gäller tillsyn av vården kan IVO utgå från PDL och Socialstyrelsens föreskrifter om journalföring som omfattar delar av vårdgivarnas informationssäkerhet.[361] Det är dock mycket ovanligt att IVO:s tillsyn av vårdgivare omfattar informationssäkerhet utöver den som görs enligt NIS-lagen.[362]

4.2.2 Tillsynen enligt NIS-lagen omfattar bara vissa delar av vårdgivares informationssäkerhetsarbete

IVO har begränsat sin tillsyn enligt NIS-lagen till delar av vårdgivares informationssäkerhetsarbete. Som skäl anger IVO att det saknas föreskrifter till lagen, som Socialstyrelsen inte har tagit fram. En konsekvens är att tillsynen är begränsad och inte ger ett fullgott svar på om vårdgivarna har en hög informationssäkerhet i vårdgivarnas informationssystem och nätverk där personuppgifter hanteras, och om de bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete. En annan konsekvens är att tillsynen ger vårdgivarna begränsad vägledning om vad som krävs av dem för att uppfylla NIS-lagens krav.

NIS-lagen ställer krav på att vårdgivarna ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete för att upprätthålla hög säkerhet i nätverk och informationssystem. IVO:s tillsyn av NIS-lagen omfattar dock i praktiken bara delar av lagens krav.

IVO uppger att det krävs förskrifter med tydligare vägledning för att tillsynen ska kunna omfatta genomförandet av det systematiska informationssäkerhetsarbetet, exempelvis vad som är en ändamålsenlig och proportionell teknisk och organisatorisk åtgärd för att hantera risker som hotar säkerheten i nätverk och informationssystem. IVO menar att de inte kan göra den uttolkningen på egen hand utan föreskrifter. Eftersom Socialstyrelsen inte har tagit fram förskrifter till NIS-lagen har IVO valt att avgränsa sin tillsyn till att i huvudsak granska om vårdgivare tagit fram riskanalyser med tillhörande åtgärdsplaner.[363]

IVO har bedömt att det inte heller går att utgå från andra föreskrifter som omfattar vårdgivares informationssäkerhet i tillsynen. Fram till 2021 utgick IVO från MSB:s föreskrift om informationssäkerhet för leverantörer av samhällsviktiga tjänster[364] när det gäller dokumentation på en generell nivå. Men den är enligt IVO inte tillräckligt anpassad till de komplexa förhållandena i vården för att kunna vara en grund för tillsyn av vårdgivarnas informationssäkerhetsarbete.[365] Socialstyrelsens föreskrifter och allmänna råd om patientsäkerhet respektive ledningssystem för kvalitetsledning[366] är enligt IVO inte heller tillräckligt specifika för att kunna utgöra ett konkret stöd för tillsyn av vårdgivares eller omsorgsgivares informationssäkerhet.[367]

En konsekvens av att IVO begränsat tillsynen enligt NIS-lagen till verksamheternas riskanalyser och åtgärdsplaner är att utvecklingen av praxis begränsas. Därmed begränsas också vägledningen till vårdgivarna om vilka åtgärder de bör vidta i sina informationssystem och nätverk för att leva upp till NIS-lagens krav på hög informationssäkerhet.

IVO har inte påtalat till Regeringskansliet att avsaknaden av föreskrifter till NIS-lagen påverkar tillsynen av informationssäkerhet. Eftersom det pågått en dialog mellan IVO och Socialstyrelsen i frågan har IVO bedömt att den inte behövt lyftas till Regeringskansliet.[368]

4.2.3 IVO har inriktat tillsynen mot verksamheter där konsekvenserna av brister kan bli störst

IVO har i urvalet av verksamheter för tillsyn i huvudsak utgått från var konsekvenserna av eventuella brister i informationssäkerhet skulle bli störst, och i mindre utsträckning utgått från vilka verksamheter som har störst brister. Det har gjort att tillsynen framför allt inriktats mot större offentliga regionala vårdgivare. Mindre kommunala vårdgivare, där bristerna i informationssäkerhet generellt är störst, och enskilda vårdgivare har sällan omfattats av tillsynen.

IVO gör prioriteringar i sin egeninitierade tillsynsverksamhet baserat på en myndighetsövergripande riskanalys. Information från NIS-tillsynen ingår dock inte i denna riskbaserade planering.[369] Inom ramen för NIS-tillsynen gör IVO årligen en riskanalys som resulterar i en årlig tillsynsplan med övergripande prioriteringar för urval av verksamheter för tillsyn. IVO har inte delgett Riksrevisionen denna riskanalys, de underlag som används eller hur den utförs. Enligt IVO baseras riskanalysen på olika interna och externa källor och följer inte en fastställd processbeskrivning.[370] Riskanalysen inom NIS-tillsynen är enligt IVO ett utvecklingsområde.[371]

IVO har haft olika utgångspunkter i sina tillsynsplaner.[372] Merparten av de genomförda planerade tillsynsärendena har dock inletts baserat på vårdgivarens storlek och därmed antalet personer som skulle kunna drabbas av en eventuell störning, och inte på vilka verksamheter som har störst brister i informationssäkerheten. I de fall IVO har inlett tillsyn efter inträffade IT‑incidenter har tillsynen utgått från den inträffade störningens allvarlighetsgrad och antalet personer som påverkats eller riskerat att påverkas.[373] Det har resulterat i att IVO har prioriterat regionerna och de största kommunerna i tillsynen.[374] Antal tillsynsärenden som gäller vårdgivare enligt NIS-lagen framgår av tabellen nedan.

Tabell 1 Antal tillsynsärenden enligt NIS-lagen per år, januari 2019 - november 2023

År

Antal ärenden totalt

varav regionala vårdgivare

varav kommunala vårdgivare

varav enskilda utförare

2019

23

10

12

1

2020

20

6

12

2

2021

12

5

5

2

2022

11

1

8

2

2023

15

3

12

0

Totalt

81

25

49

7

varav unika vårdgivare

65

21

38

6

Källa: Riksrevisionen, bearbetning av uppgifter från IVO. Tandvårdsverksamheter och apotek ingår inte i tabellen. Skillnaden mellan antal ärenden och antal unika vårdgivare beror på att vissa vårdgivare omfattats av flera tillsynsärenden.

Som framgår av tabell 1 omfattas kommunerna i mindre utsträckning av IVO:s tillsyn än regionerna, trots att de generellt har större brister i informationssäkerhet. Mellan januari 2019 och november 2023 täckte IVO in alla regionala vårdgivare i tillsynen och fattade beslut i eller påbörjade tillsyn av 38 kommunala vårdgivare.[375] Det är därmed 34 procent av de kommunala vårdgivare som omfattas av NIS-lagen som till någon del omfattats av tillsyn.[376] Av landets samtliga kommuner är det 13 procent som omfattats av tillsyn, och av de 20 befolkningsmässigt största kommunerna har 16 stycken (80 procent) omfattats av tillsyn.[377]

IVO har genomfört få tillsynsärenden av informationssäkerhet av enskilda vårdgivare. Sex enskilda vårdgivare har omfattats av tillsyn, varav tre är offentligt ägda bolag.[378] Det innebär att IVO endast genomfört tillsyn av 8 procent av de enskilda vårdgivare som omfattas av NIS-lagen.[379]

4.2.4 Intern resursfördelning och långsam uppbyggnad av NIS-tillsynen har påverkat tillsynens omfattning

Den interna resurstilldelningen och uppbyggnad av kompetens har delvis påverkat antalet genomförda tillsynsärenden mellan 2018 och 2023.

Drygt 200 vårdgivare är anmälda hos IVO som leverantörer av samhällsviktig tjänst och kan därmed bli aktuella för tillsyn enligt NIS-lagen.[380] Omfattningen av tillsynen påverkas av myndighetens prioriteringar av all tillsyn. IVO har anpassat sina interna målsättningar för antalet tillsynsärenden per år efter de resurser som myndigheten internt tilldelat tillsyn enligt NIS-lagen och IVO uppger att de uppsatta målen nås.[381] Som framgår av tabell 1 har IVO genomfört mellan 11 och 15 tillsynsärenden av vårdgivare enligt NIS-lagen per år under de senaste tre åren. Under 2022 var IVO:s kostnader för NIS-tillsynen 8,5 miljoner kronor. Det kan jämföras med vad myndigheten totalt lade på egeninitierade tillsynsärenden inom vård: 104,8 miljoner kronor.[382]

En förklaring till omfattningen av tillsynen är enligt IVO att det tagit tid att rekrytera rätt kompetens. Som en konsekvens använde IVO under 2019 knappt hälften av de 10 miljoner kronor som regeringen tillfört IVO för tillsyn enligt NIS-lagen.[383] Under de första åren efter det att NIS-lagen infördes ägnade IVO också mycket tid åt att identifiera vilka verksamheter som skulle anmäla samhällsviktig tjänst. Enligt IVO dröjde det till 2021 innan myndigheten kommit i fas med det som krävs för tillsyn enligt NIS-lagen.[384]

IVO har för närvarande fyra inspektörer som bedriver NIS-tillsyn på heltid. Även jurister och beslutsfattare deltar i NIS-tillsynen på deltid. Under 2022 avslutade IVO 11 tillsynsärenden som i genomsnitt tog 169 dagar att slutföra. Det innebär att de fyra NIS-inspektörerna genomförde knappt tre tillsynsärenden vardera detta år,[385] trots att tillsynen begränsats till delar av NIS-lagen och i huvudsak utförs som skrivbordstillsyn.

Som framgår av tabellen nedan sjönk den genomsnittliga handläggningstiden mellan det att ett ärende inleddes och beslutades från 259 dagar under 2021 till 169 dagar under 2022.

Tabell 2 Handläggningstider för tillsynsärenden enligt NIS-lagen per år, 2019–2022

År

Handläggningstid för tillsyn av informationssäkerhetsarbete

2019

261

2020

242

2021

259

2022

169

Handläggningstiderna omfattar dels IVO:s handläggning, dels den väntetid på 30 dagar som IVO ger verksamheterna att inkomma med efterfrågad information.[386] När handläggningstiderna är långa beror det oftast på att IVO behövt begära in många kompletteringar.[387]

4.2.5 Inrapporterade IT‑incidenter är sällan grund för tillsyn och IVO analyserar inte mörkertal

IVO inleder sällan tillsyn på grund av inrapporterade IT‑incidenter från vårdgivare eftersom IVO inte vill riskera att påverka verksamheternas rapporteringsvilja. IVO analyserar inte mörkertalet av inrapporterade IT‑incidenter, använder dem inte i sina riskanalyser och främjar inte incidentrapporteringen aktivt.

Vårdgivare som omfattas av NIS-lagen ska rapportera in IT‑incidenter till MSB som i sin tur delger IVO rapporterna. IVO ska kontrollera att incidentrapporterna följer gällande bestämmelser för vilka incidenter som ska rapporteras in och vid behov begära kompletteringar från verksamheterna. Om en incident gäller hantering av personuppgifter ska IVO rapportera den vidare till IMY.[388]

IVO inleder sällan ett tillsynsärende baserat på incidentrapporteringen. Mellan 2019 och 2023 inledde IVO sex tillsynsärenden på grund av någon form av incident som kommit till IVO:s kännedom, det vill säga inte bara IT‑incidenter som rapporterats in enligt NIS-lagen.[389] IVO:s handläggning av IT‑incidenter går framför allt ut på att se till att flödet av ärenden fungerar. En anledning till att IVO inte inleder fler tillsynsärenden på grund av incidentrapporter är att myndigheten anser att det kan påverka vårdgivarnas rapporteringsvilja negativt.[390] Detta lyfts även fram i en utvärdering av implementeringen av NIS-lagen som MSB genomfört.[391]

I MSB:s utvärdering av NIS-lagens implementering framkommer att tillsynsmyndigheterna bedömer att bara ett fåtal incidenter rapporteras in. Tänkbara förklaringar är att det inte finns tydligt incitament för en verksamhet att rapportera IT‑incidenter, och att MSB:s incidentrapporteringsföreskrift inte är tillräcklig konkret och att det är svårt att tolka vilka incidenter som ska inrapporteras.[392]

Företrädare för IVO gör en liknande bedömning. IVO har identifierat ett antal så kallade vita fläckar av verksamheter som inte inkommer med incidentrapporter, trots att det finns skäl att tro att de borde göra det. Ett exempel är där flera regioner delar samma IT‑system, och en region rapporterat in incidenter medan de andra inte gjort det. IVO genomför dock inte systematiska mörkertalsanalyser av vilka vårdgivare som inte rapporterar in incidenter som underlag för sin riskbaserade tillsyn.[393] IVO har inte heller främjat rapporteringsviljan genom riktad information om skyldigheten att rapportera in incidenter till de vårdgivare som sällan eller aldrig gjort det.[394]

4.2.6 IVO saknar kunskap om enskilda vårdgivare och uppmanar inte vårdgivare att anmäla förändringar

IVO tar i sin tillsyn av vårdgivares skyldighet att anmäla sig som leverantör av samhällsviktig tjänst enligt NIS-lagen fram uppgifter om vilka verksamheter som borde kunna vara NIS-leverantörer. Om en potentiell leverantör inte har anmält sig kan IVO inleda en anmälningstillsyn i syfte att avgöra om den bör anmäla sig som leverantör.[395] Mellan 2019 och 2021 fattade IVO beslut i 75 anmälningstillsynsärenden varav 73 gällde kommuner, 1 ärende gällde en region och 1 gällde en enskild vårdgivare. Anledningen till att fler ärenden inte omfattar enskilda vårdgivare är enligt IVO att de inte kunnat få fram tillförlitliga data ur tillgängliga register som möjliggjort tillsyn av enskilda vårdgivare. Det är också anledningen till att IVO inte inledde några anmälningstillsynsärenden under 2022 och 2023.[396]

IVO för register över de vårdgivare som är anmälda som leverantörer av samhällsviktig tjänst, vilket innehåller drygt 200 vårdgivare, och rapporterar uppgifterna vidare till MSB.[397] IVO uppger att de har en relativt god överblick över regionala och kommunala vårdgivare men inte om enskilda vårdgivare som de har i sitt register. Anmälda leverantörer är skyldiga att göra ändringsanmälningar till IVO som uppdaterar registret. IVO informerar på sin webbplats om hur uppdateringar av anmälan ska ske men har hittills inte arbetat systematiskt med att proaktivt kontakta leverantörer med information och uppmaningar om att inkomma med ändringar.[398]

4.2.7 IVO ger i liten utsträckning vägledning i tillsynen

IVO ger inte specifika råd om åtgärder till vårdgivare inom ramen för NIS-tillsynen. IVO måste i uppdraget hantera balansen mellan att ge råd och att bedriva tillsyn, och möjligheten till vägledning begränsas av att tillsynen bedrivs som skrivbordstillsyn. IVO menar samtidigt att potentialen för vägledning är störst i enskilda tillsynsärenden.

IVO ska inom ramen för tillsynen ge allmän vägledning vid tillämpningen av NIS-lagen.[399] IVO uppger att man som tillsynsmyndighet har ett övergripande uppdrag att återkoppla iakttagelser och ge råd och vägledning samt sprida information om informationssäkerhet, exempelvis genom att delta i konferenser, men deltagandet styrs av att IVO har begränsat med resurser.[400] Vårdgivare kan också höra av sig till IVO med frågor. Däremot menar IVO att mer konkreta stödinsatser till verksamheterna faller utanför uppdraget.[401]

Samtidigt uppger IVO att det framför allt är i enskilda tillsynsärenden som IVO kan bidra med vägledning och lärande till vårdgivarnas informationssäkerhetsarbete. Tillsynen har särskild potential att bidra till lärande när den sker på plats och hos verksamheter som har lägre kunskaper om informationssäkerhetsarbete. När tillsynen är avslutad uppstår ofta frågor och diskussioner, och när verksamheternas kunskaper är låga kan diskussionerna göra stor skillnad.[402] Detta har framkommit också i vår intervju med en kommun som anser att dialog med IVO i samband med tillsyn varit utvecklande för deras lärande.[403] Men det är enligt IVO en svår balansgång i uppdraget mellan att ge råd och att bedriva tillsyn. Möjligheten att ge konkreta råd som gäller en specifik verksamhet är därför enligt IVO begränsad.[404]

Vägledningen begränsas också av att tillsynen vanligtvis utförs som så kallad skrivbordstillsyn. Eftersom IVO inte anser sig kunna bedriva tillsyn av säkerheten i informationssystemen och nätverken (se avsnitt 4.2.2) begär IVO in och bedömer dokumentation från verksamheten som grund för sina tillsynsbeslut utan att besöka verksamheten och granska deras IT‑system. Det minskar möjligheten att ge vägledning och stöd inom ramen för enskilda tillsynsärenden. Enligt företrädare för SKR kan tillsyn från en statlig myndighet öka verksamhetsledningens fokus och ge informationssäkerhetsarbetet en knuff framåt i verksamheten.[405] Eftersom IVO bedriver tillsyn skriftligen och granskar främst om verksamheten har genomfört riskanalyser och tagit fram åtgärdsplaner minskar tillsynens vägledande funktion. Enligt en kommun som varit föremål för tillsyn upplevs tillsynen vara på en generell nivå. Det är inte heller alltid tydligt vad IVO vill att exempelvis en riskanalys ska innehålla. En annan synpunkt är att det krävs en stor insats för att ta fram den information som IVO efterfrågar.[406]

4.2.8 IVO har inte följt upp resultaten av sin tillsyn före 2023

IVO har inte genomfört systematiska uppföljningar av sin tillsyn enligt NIS-lagen före 2023. Det gör att IVO och därmed regeringen saknar kunskap om resultatet av tillsynen, exempelvis att tillsynen begränsats till verksamheters riskanalyser och åtgärdsplaner samt hur sanktionsavgifter påverkar verksamheters informationssäkerhet. IVO har inte heller spridit erfarenheter av tillsynen.

Först under 2023 började IVO följa upp enskilda tillsynsbeslut som innebär att en vårdgivare ska vidta åtgärder för att hantera identifierade bristerna i riskanalyser och åtgärdsplaner. Enligt IVO har myndigheten inte följt upp tillsynsbeslut före 2023 eftersom det tar lång tid för en vårdgivare som ålagts sanktioner att åtgärda de identifierade bristerna i besluten.[407] Ett annat skäl enligt IVO är att det inte funnits tillräckligt många tillsynsärenden att följa upp för att motivera en uppföljning.[408]

IVO ska ta ut sanktionsavgifter av en verksamhet som inte anmäler sig som leverantör av samhällsviktig tjänst, inte vidtar säkerhetsåtgärder för att skydda information eller inte rapporterar IT‑incidenter enligt NIS-lagens krav, men IVO kan efterge hela eller delar av avgiften. Avgiften ska vara lägst 5 000 och högst 10 000 000 kronor.[409] Lagstiftningen ger enligt IVO inte någon tydlig vägledning för avgifternas storlek, och det har ännu inte utvecklats en tydlig praxis av att beslut har överklagats och avgjorts i allmän förvaltningsdomstol. IVO har tagit fram en modell för att beräkna sanktionsbeloppen utifrån kriterierna i NIS-lagen.

Mellan 2019 och 2023 utfärdade IVO åtta sanktionsbeslut på grund av att kraven i NIS-lagen inte hade uppfyllts, varav sju gällde kommuner och ett en region. IVO utfärdade därmed avgifter i 10 procent av alla avslutade ärende. Den genomsnittliga sanktionsavgiften var knappt en miljon kronor.[410] Under samma period utfärdade IVO 24 sanktionsavgifter som gällde anmälan som leverantör av samhällsviktig tjänst, vilket motsvarar 32 procent av alla ärenden. Ett beslut gällde en enskild vårdgivare, och resten kommuner. Den genomsnittliga sanktionsavgiften var drygt 13 000 kronor.[411] IVO har inte utfärdat sanktionsavgifter på grund av att vårdgivare inte rapporterat in IT‑incidenter eller inte gjort det i tid.[412]

IVO har inte utvärderat sin modell för sanktionsavgifterna eller följt upp hur avgifternas storlek påverkar informationssäkerhetsarbetet i berörda verksamheter.

IVO ska årligen lämna en särskild rapport till regeringen med en sammanfattande analys av tillsynsarbetet och de viktigaste iakttagelserna och åtgärder som myndigheten vidtagit med anledning av brister och slutsatser av tillsynen.[413] Erfarenheter av NIS-tillsynen har redovisats i denna rapport vid ett tillfälle, 2020. IVO:s iakttagelser från NIS-tillsynen har därmed sällan presenterats för en bredare krets. IVO har inte heller gjort andra sammanställningar av NIS-tillsynen som spridits till vårdgivare eller till andra myndigheter.[414]

4.3 Gränsdragningsproblematik mellan IMY och IVO

IVO och IMY har närliggande tillsynsuppdrag och det finns en viss gränsdragningsproblematik i tillsynen när det gäller informationssäkerhet för personuppgifter.

IMY:s tillsyn berör skyddet av personuppgifter och utgår från dataskyddsförordningen och kompletterande lagstiftning såsom PDL. IVO:s tillsyn utgår från NIS-lagen och fokuserar på kontinuitet och tillgänglighet i IT‑system men omfattar även riktighet, det vill säga skydd av personuppgifter. IVO kan liksom IMY också utgå från PDL i tillsynen. Såväl IVO:s som IMY:s tillsyn omfattar verksamheters tekniska säkerhetsåtgärder för informationssäkerhet i IT‑systemen.

Det är framför allt i patientsäkerhetsfrågor inom vården som ansvarsfördelningen mellan myndigheternas tillsyn kan bli otydlig. PDL gäller både vårdgivares behandling av personuppgifter inom vården (IMY:s tillsynsansvar) och skyldigheter att föra patientjournal (IVO:s tillsynsansvar). Gränsdragningsproblemen kan till exempel gälla hur vårdgivarna följer regler som rör journalföring och behandling av personuppgifter, till exempel i behörighetsfrågor.[415] Det kan försvåra för verksamheter att veta till vilken myndighet de ska vända sig till med frågor.[416]

Överlappningarna i uppdragen gör att det finns ett behov av samordning av tillsynen och IMY och IVO slutit en samverkansöverenskommelse och har löpande kontakter. Överenskommelsen har inte utvärderats.[417] I granskningen framkommer viss kritik mot utfallet av samordningen. Enligt SKR har det hänt att IVO:s och IMY:s tillsynsärenden omfattat samma uppgifter och arbete i verksamheterna, till exempel riskanalyser. Enligt SKR saknas det samsyn mellan myndigheterna om hur till exempel en riskanalys bör se ut, men en sådan samsyn skulle underlätta kommuners och regioners arbete.[418] Det är dock enligt IVO inte möjligt att acceptera riskanalyser som IMY bedömt som tillräckliga enligt en annan lagstiftning. Myndigheterna har också delvis olika metodansatser, och det är enligt IVO därför svårt att hitta ett gemensamt sätt att bedöma riskanalyser i tillsynen.[419]

  • [316] Datainspektionen, Tillsynsplan 2019–2020, 2019.
  • [317] IMY, Tillsynsplan 2021–2022, 2021 och IMY, Tillsynsplan 2023, 2023.
  • [318] Intervju med företrädare för IMY, 2023-03-30.
  • [319] Intervju med företrädare för IMY, 2023-03-08.
  • [320] Se IMY, ”Brister i hur vårdgivare styr personalens åtkomst till journaluppgifter” för besluten, hämtad 2023-11-15.
  • [321] IMY, Tillsynsplan 2021–2022, 2021 och IMY, Tillsynsplan 2023, 2023.
  • [322] Intervju med företrädare för IMY, 2023-03-30.
  • [323] IMY, IMY:s mål- och resultatkarta, 2021. IMY har satt mål för handläggningstider, se avsnitt 4.1.3.
  • [324] Dåvarande Datainspektionen inledde tillsyn av Omsorgsnämnden och äldrenämnden i Uppsala kommun i februari 2017. Man undersökte behörighetstilldelning och loggkontroller i journalsystemet och fann flera brister. Beslut fattades i juni 2019.
  • [325] Tillsynen har omfattat offentliga och enskilda vårdgivare.
  • [326] Tillsyn av Kry International AB, Region Uppsala och Region Skåne.
  • [327] IMY, Årsredovisning 2021, 2022, s. 45 och IMY, Årsredovisning 2022, 2023, s. 26 och intervju med företrädare för IMY, 2023-03-30.
  • [328] IMY, Årsredovisning 2021, 2022, s. 17, 41–42, IMY, Årsredovisning 2022, 2023, s. 23–26 och intervju med företrädare för IMY, 2023-03-30.
  • [329] Intervju med företrädare för IMY, 2023-03-30 och IMY, Integritetsskyddsmyndighetens budgetunderlag 2023–2025, 2022, s. 7.
  • [330] Tillsyn i kategori 1 och 2 är enklare och mindre omfattande tillsynsärenden med enbart skriftväxling med tillsynsobjektet. I gränsöverskridande klagomålsärenden tillkommer också skriftväxling med andra berörda tillsynsmyndigheter. Kategori 3 är ärenden som kräver en större rättsutredning eller fler utredningsåtgärder än enbart kommunikation med tillsynsobjektet. Till kategori 4 hör de mest komplexa ärendena som omfattar inspektion.
  • [331] IMY, Klagomål till IMY - den nationella bilden 2021, 2022.
  • [332] Intervju med företrädare för IMY, 2023-03-30 och IMY, Årsredovisning 2022, 2023, s. 21–22.
  • [333] IMY, Årsredovisning 2023, 2024, s. 27.
  • [334] Klagomåls- och tillsynsärenden som fortfarande är under handläggning.
  • [335] Intervju med företrädare för IMY, 2023-03-30, IMY:s svar på skriftliga frågor, 2023-10-04 och IMY, Integritetsskyddsmyndighetens budgetunderlag 2022–2024, 2021¸s. 18–20.
  • [336] IMY, Integritetsskyddsmyndighetens budgetunderlag 2022–2024, 2021, s. 7.
  • [337] IMY, Årsredovisning 2022, 2023, s. 22–23 och IMY:s svar på skriftliga frågor, 2023-10-04.
  • [338] IMY:s svar på skriftliga frågor, 2023-10-04.
  • [339] Intervju med företrädare för kommun 2 och kommun 5.
  • [340] Intervju med företrädare för kommun 1 och kommun 6.
  • [341] Intervju med företrädare för IMY, 2023-03-30.
  • [342] Den genomsnittliga handläggningstiden omfattar tillsynen enligt dataskyddsförordningen, brottsdatalagen och kamerabevakningslagen.
  • [343] IMY, Årsredovisning 2022, 2023, s. 26.
  • [344] Uppgifterna enligt de fyra kategorierna avser de genomsnittliga handläggningstiderna under 2021. IMY har inte redovisat motsvarande uppgifter för 2022.
  • [345] Målet för handläggningstid i kategori 1 och 2 är 90 dagar, 180 dagar i kategori 3 och 360 dagar i kategori 4. Se IMY, IMY:s mål- och resultatkarta, 2021.
  • [346] Intervju med företrädare för IMY, 2022-12-01, intervju med företrädare för IMY, 2023-03-30, intervju med företrädare för IMY, 2023-04-24 och IMY:s svar på skriftliga frågor, 2023-10-04.
  • [347] IMY, Integritetsskyddsmyndighetens budgetunderlag 2022–2024, 2021, s. 8 och intervju med företrädare för IMY, 2023-03-30 och IMY:s svar på skriftliga frågor, 2023-10-04.
  • [348] IMY, Årsredovisning 2021, 2022, s. 17, 41–42.
  • [349] Intervju med företrädare för IMY, 2023-03-30 och IMY:s svar på skriftliga frågor, 2023-10-04.
  • [350] Regeringskansliets svar på skriftliga frågor, 2023-10-03.
  • [351] IMY, Årsredovisning 2022, 2023 och IMY, Integritetsskyddsmyndighetens budgetunderlag 2024–2026, 2023.
  • [352] IMY, Ställningstagande om partsställning i ärenden som inleds med anledning av klagomål, 2023.
  • [353] Intervju med företrädare för IMY, 2023-03-30.
  • [354] Intervju med företrädare för IMY, 2023-03-30.
  • [355] NIS-lagen omfattar vårdgivare där antalet anställd legitimerad vårdpersonal eller på annat sätt anlitad legitimerad vårdpersonal överstiger 50 årsarbetskrafter, eller där minst 20 000 expedieringar av receptbelagda läkemedel utförs per år. 7 kap. MSB:s föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster (MSBFS 2021:9).
  • [356] Intervju med företrädare för IVO, 2023-04-20.
  • [357] IVO:s svar på skriftliga frågor, 2023-12-20.
  • [358] Lagen om behandling av personuppgifter inom socialtjänsten.
  • [359] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [360] Socialstyrelsen, Säker personuppgiftsbehandling i socialtjänsten. Rättsläge och utgångspunkter, 2018.
  • [361] Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.
  • [362] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [363] Intervju med företrädare för IVO, 2023-04-20. IVO:s svar på skriftliga frågor, 2023-12-20.
  • [364] MSB:s föreskrifter och allmänna råd (MSBFS 2018:8) om informationssäkerhet för leverantörer av samhällsviktiga tjänster.
  • [365] IVO:s svar på skriftliga frågor, 2023-12-20.
  • [366] Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2017:40) om vårdgivares systematiska patientsäkerhetsarbete. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för ett systematiskt kvalitetsarbete.
  • [367] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [368] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [369] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [370] IVO:s svar på skriftliga frågor, 2023-12-20.
  • [371] Intervju med företrädare för IVO, 2023-04-20.
  • [372] 2020 och 2024 hade uppföljning av tidigare beslut högsta prioritet. Under 2021 och 2022 hade incidenter som föranleder tillsyn högsta prioritet. Ej tidigare tillsynade leverantörer prioriterade efter storlek på leverantörens verksamhet (eller motsvarande) hade prioritet 2 under 2020, 4 under 2021, 4 under 2022 och 2 under 2023.
  • [373] IVO:s svar på skriftliga frågor, 2023-12-20.
  • [374] Intervju med företrädare för IVO, 2023-04-20.
  • [375] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20.
  • [376] Antalet unika kommuner som till någon del inlett eller avslutat tillsyn av 2019 till 2023-12-19/ antal kommuner i IVO:s register av samhällsviktiga leverantörer enligt NIS-lagen 2023-12-19. Riksrevisionen, sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20.
  • [377] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20 samt befolkningsuppgifter från Statistiska centralbyrån per 31 december 2022.
  • [378] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20. Bolagen är Attendo Care, Capio, Praktikertjänst, TioHundra AB (ägt av kommuner och region), SOS Alarm (ägt av staten och SKR) och Södersjukhuset i Stockholm (ägt av region).
  • [379] Antalet unika enskilda vårdgivare som IVO till någon del inlett eller avslutat tillsyn av 2019 till 2023-12-19/ antal enskilda vårdgivare i IVO:s register av samhällsviktiga leverantörer enligt NIS-lagen 2023-12-19.
  • [380] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20.
  • [381] IVO:s svar på skriftliga frågor, 2023-12-20. IVO har i ett tidigare skriftligt svar till Riksrevisionen angett att målet för antalet riskbaserade tillsynsärenden är 30–40 per år.
  • [382] IVO, Årsredovisning 2022, 2023, s. 62.
  • [383] IVO, Årsredovisning 2019, 2020.
  • [384] Intervju med företrädare för IVO, 2023-04-20.
  • [385] Antalet ärenden per antalet NIS-inspektörer varje år.
  • [386] 30 dagar enligt Tillsynsplan NIS 2023.
  • [387] Intervju med företrädare för IVO, 2023-04-20.
  • [388] IVO, Processbeskrivning, delprocess 3.1.8, rapportering av incident i nätverk och informationssystem, 2021-10-01.
  • [389] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20. IVO har inte kunnat redovisa vilka av dessa ärenden som öppnats på grund av en inrapporterad IT‑incident enligt NIS-lagen eller annan incident som kommit till IVO:s kännedom. Se även IVO:s svar på skriftliga frågor, 2023-12-20.
  • [390] Intervju med företrädare för IVO, 2023-04-20 och IVO:s svar på skriftliga frågor, 2023-10-04.
  • [391] MSB, Utvärdering av resultatet av Sveriges implementering av NIS-direktivet, slutrapport, 2022.
  • [392] MSB, Utvärdering av resultatet av Sveriges implementering av NIS-direktivet, slutrapport, 2022.
  • [393] Intervju med företrädare för IVO, 2023-04-20.
  • [394] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [395] Intervju med företrädare för IVO, 2023-04-20. IVO utgår i sin tillsyn av skyldigheten att anmäla sig som leverantör av samhällsviktig tjänst från NIS-lagen och MSB:s föreskrift MSBFS 2021:9. Föreskriften anger vilka krav som ställs på verksamheterna när det gäller att anmäla sig som leverantör, exempelvis vilket ansvar leverantören har för att anmäla förändringar i sin organisation. Grundkravet för att kvalificera sig som leverantör är att man ska ha 50 årsanställda, legitimerad sjukvårdspersonal eller expediera 20 000 medicindoser per år. Alla regioner och de flesta kommuner omfattas därmed, liksom enskilda vårdgivare och apotek. IVO har i sin tillsyn av kommuner satt en undre gräns på 15 000 invånare eftersom det annars blir för få personer som omfattas.
  • [396] IVO:s svar på skriftliga frågor, 2023-12-20.
  • [397] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20. IVO ska rapportera vidare dessa uppgifter utan dröjsmål enligt 19 § 1 st. NIS-förordningen.
  • [398] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [399] 19 § NIS-förordningen.
  • [400] Intervju med företrädare för IVO, 2023-04-20.
  • [401] IVO:s svar på skriftliga frågor, 2023-10-04.
  • [402] Intervju med företrädare för IVO, 2023-04-20 och IVO:s svar på skriftliga frågor, 2023-10-04.
  • [403] Intervju med företrädare för kommun 4.
  • [404] Intervju med företrädare för IVO, 2023-04-20 och IVO:s svar på skriftliga frågor, 2023-10-04.
  • [405] Intervju med företrädare för SKR, 2023-06-08
  • [406] Intervju med företrädare för kommun 1.
  • [407] IVO:s svar på skriftliga frågor, 2023-12-20.
  • [408] Intervju med företrädare för IVO, 2023-04-20.
  • [409] Se 29–37 §§ NIS-lagen. Avgiftens storlek ska baseras på den skada som uppstått, om leverantören tidigare har begått en överträdelse, och de kostnader som leverantören har undvikit till följd av överträdelsen. När det gäller anmälningssanktioner och incidentsanktioner är beloppen lägre, medan överträdelser enligt 12 § NIS-lagen om det systematiska informationssäkerhetsarbetet ger högre avgifter enligt modellen.
  • [410] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20. Lägsta avgift var 300 000 kronor och högsta 1,7 miljoner kronor.
  • [411] Riksrevisionens sammanställning och analys av uppgifter från IVO 2023-05-05 och 2023-12-20. Lägsta avgift var 5 000 kronor och högsta 45 000 kronor.
  • [412] IVO:s svar på skriftliga frågor, 2023-12-20.
  • [413] 3 § förordningen med instruktion för Inspektionen för vård och omsorg.
  • [414] Intervju med företrädare för IVO, 2023-04-20.
  • [415] IMY:s svar på skriftliga frågor, 2023-10-04 och intervju med företrädare för IVO, 2023-04-20.
  • [416] IMY:s svar på skriftliga frågor, 2023-10-04.
  • [417] IMY:s svar på skriftliga frågor, 2023-10-04. Intervju med företrädare för IVO, 2023-04-20.
  • [418] Intervju med företrädare för SKR, 2023-06-08.
  • [419] IVO:s svar på skriftliga frågor, 2023-10-04.

Uppdaterad: 18 april 2024

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?