Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

5. Slutsatser och rekommendationer

Riksrevisionens övergripande slutsats är att statens arbete med att stärka skyddet av personuppgifter som hanteras digitalt inom vården och omsorgen inte är effektivt.

Granskningen visar att MSB:s, IMY:s och Socialstyrelsens styrning och stöd sammantaget inte bidrar effektivt till att stärka vårdens och omsorgens informationssäkerhetsarbete och därmed höja deras informationssäkerhetsnivå. Stödet är generellt och bidrar främst till att vägleda vård- och omsorgsgivare när de ska bygga upp ett informationssäkerhetsarbete i sina verksamheter. Men stödet är inte tillräckligt anpassat efter vård- och omsorgsgivarnas behov, till exempel när det gäller att identifiera och vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder för att hantera risker vid personuppgiftsbehandling och uppnå ett tillräckligt skydd i enlighet med författningsreglerade krav. Vård- och omsorgsgivare ansvarar för informationssäkerheten för personuppgifter men får inte den rättsliga vägledning som de behöver för att kunna tolka författningsreglerade krav. Framför allt mindre kommuner, som har begränsade resurser och brist på den kompetens som krävs, har svårt att fastställa och vidta tillräckliga säkerhetsåtgärder i sitt informationssäkerhetsarbete. MSB, Socialstyrelsen, IMY och IVO har i stor utsträckning valt att inte göra rättsliga ställningstaganden, det vill säga vad de författningsreglerade kraven innebär i praktiken. Det har lett till begränsat rättspraxis och stöd till vård- och omsorgsgivare som behöver göra dessa tolkningar i det praktiska informationssäkerhetsarbetet. Det kan leda till att de inte åtgärdar säkerhetsbrister eller inte fattar beslut om säkerhetsåtgärder, vilket resulterar i ett otillräckligt skydd för personuppgifter. Det riskerar också att leda till att vård- och omsorgsgivare fattar olika beslut om hur samma känsliga personuppgifter ska skyddas, vilket kan leda till varierande skydd för personuppgifter beroende på var i landet man bor. Granskningen visar vidare att myndigheternas samordning av stödet har brister, vilket gjort att statens arbete sammantaget inte bidrar i tillräcklig utsträckning till att stärka skyddet av personuppgifter i vården och omsorgen. Sammantaget är detta enligt Riksrevisionens bedömning inte ett effektivt utnyttjande av samhällets resurser.

Granskningen visar också att tillsynen av vård- och omsorgsgivare inte på ett effektivt sätt kontrollerar om de uppfyller författningsreglerade krav på informationssäkerhet och därigenom nivån för informationssäkerhet. IMY och IVO har genomfört få tillsynsärenden av vårdgivare och inga alls av omsorgsgivare, och tillsynen har sällan omfattat alla delar av verksamheternas informationssäkerhet. Myndigheterna brister också i sitt arbete med att utveckla praxis och ge vägledning inom ramen för tillsynen. Det gör att vård- och omsorgsgivare inte får tillräckligt med vägledning i hur de kan förbättra sitt informationssäkerhetsarbete. Tillsynen är också bara delvis riskbaserad, vilket gör att det är svårt att bedöma om den fokuserar på verksamheter där den skulle ge störst nytta. IMY och IVO har inte heller följt upp sina tillsynsbeslut, vilket innebär att det är oklart om de granskade verksamheterna har åtgärdat de brister som identifierats vid tillsynen.

Regeringen har genom sin styrning och uppföljning inte sett till att IMY, MSB och Socialstyrelsen har samordnat sitt arbete med att utforma ett stöd som motsvarar vårdens och omsorgens behov på ett effektivt sätt. Regeringen har inte verkat tillräckligt för att socialtjänsten ska omfattas av samma krav på informationssäkerhet som vården, trots att de hanterar liknande känsliga personuppgifter och konsekvenserna därmed är lika stora om uppgifter röjs. Dessutom saknas uttryckliga rättsliga krav på omsorgsgivare och på mindre vårdgivare att arbeta systematiskt med informationssäkerhet, förutom när det gäller behörighetstilldelning och kontroll av dessa behörigheter. Det begränsar bland annat IMY:s och IVO:s möjligheter att bedriva tillsyn av verksamheternas informationssäkerhet.

Avsnitt

5.1 Staten arbetar inte effektivt för att stärka regioners och kommuners informationssäkerhetsarbete

Konsekvenserna av att känsliga personuppgifter röjs kan bli stora, både för verksamheter och inte minst för enskilda som drabbas. Flera undersökningar visar att regionernas och framför allt kommunernas informationssäkerhetsarbete har brister och att kommunerna saknar den kompetens och de resurser som krävs för att upprätthålla en väl avvägd nivå på sin informationssäkerhet. Statens samlade arbete bör verka för och stödja vård- och omsorgsgivares informationssäkerhetsarbete så att det leder till ett tillräckligt skydd för information. Riksrevisionens granskning visar att de statliga insatserna i flera avseenden inte är effektiva. Det beror bland annat på att stödet inte är tillräckligt anpassat efter regioners och kommuners behov. Det leder till att regioner och framför allt kommuner upplever osäkerhet i hur bestämmelser för informationssäkerhet ska tolkas när de ska vidta säkerhetsåtgärder för att skydda personuppgifter.

5.1.1 Statens stöd är inte tillräckligt anpassat efter vårdens och omsorgens behov

MSB:s, IMY:s och Socialstyrelsens stöd för informationssäkerhetsarbete är utformat på en övergripande nivå. Riksrevisionen konstaterar att stödet främst är inriktat på hur ett systematiskt informationssäkerhetsarbete ska byggas upp och bedrivas i en verksamhet, oavsett verksamhetsområde och storlek på verksamheten. Myndigheterna ger inte stöd som är tillräckligt anpassat efter vårdens och omsorgens behov, framför allt i komplicerade frågor som berör säkerhetsåtgärder och i avvägningar mellan informationssäkerhet, integritet och patientsäkerhet som kräver hjälp med tolkning av lagstiftningen. Myndigheternas insatser har inte tillräckligt riktats mot de områden där kommuner och regioner anser att de främst behöver stöd, vilket innebär att statens arbete sammantaget inte bidrar till att stärka vårdens och omsorgens informationssäkerhetsarbete.

Rättsliga bestämmelser på området är omfattande och komplexa. Regioner och framför allt kommuner är ofta osäkra på hur bestämmelserna för informationssäkerhet ska tolkas i det praktiska informationssäkerhetsarbetet. Det kan exempelvis handla om lagring av personuppgifter utomlands och i molntjänster, vägledning om vad som är en lämplig miniminivå för organisatoriska och tekniska säkerhetsåtgärder, och stöd för kravställning vid upphandlingar av system som involverar informationssäkerhet. Vård- och omsorgsgivare har behov av rättslig vägledning när de ska fatta beslut om vilka säkerhetsåtgärder som krävs för att skydda personuppgifter i enlighet med författningsreglerade krav. Granskningen visar att myndigheterna sällan ger sådan rättslig vägledning eftersom de är återhållsamma när det gäller tolkning av lagstiftningen. Det är inte heller tydligt för myndigheterna om de faktiskt har i uppdrag att ge sådant stöd till vården och omsorgen.

Brist på rättslig vägledning från myndigheterna leder till att landets regioner och kommuner lägger tid och resurser på att tolka olika bestämmelser, och att det finns risk för att de fattar olika beslut. Enligt Riksrevisionen är det inte resurseffektivt och kan leda till varierande informationssäkerhet över landet, vilket ökar risken för att vissa vård- och omsorgsgivare kan ha otillräcklig nivå på informationssäkerheten.[420] Det är framför allt mindre kommunala vård- och omsorgsgivare som inte har den kompetens och de resurser som krävs. Tydligare rättslig vägledning skulle underlätta för dem att fatta beslut om säkerhetsåtgärder i informationssäkerhetsarbetet för att därigenom uppnå tillräcklig och mer enhetlig informationssäkerhet för personuppgifter.

Granskningen visar dessutom att MSB:s och IMY:s stöd vid inträffade IT‑incidenter är begränsat. Vård- och omsorgsgivare som drabbas av exempelvis cyberangrepp får sällan operativt stöd från MSB för att lindra effekterna av det inträffade.

5.1.2 Myndigheterna behöver driva fram praxis

Viktiga förklaringar till att myndigheterna har svårt att ge specifikt stöd är bristen på rättspraxis på såväl nationell nivå som EU-nivå, och deras inställning till att tolka bestämmelserna. IMY är onödigt försiktiga med att tolka dataskyddsförordningen och gör sällan de ställningstaganden i rättsliga frågor som krävs för att driva fram praxis och därigenom specifikt stöd. Det beror på att IMY anser att de måste samarbeta med dataskyddsmyndigheter i andra länder för att få fram gemensam vägledning och praxis. Socialstyrelsen och MSB bidrar inte med rättsligt stöd i enskilda fall för att kunna förklara vad kraven i olika bestämmelser inom vården och omsorgen innebär i praktiken och hur vård- och omsorgsgivare kan förbättra sitt informationssäkerhetsarbete. Som skäl lyfter Socialstyrelsen att det finns en risk med att tolka bestämmelserna och ge stöd som inte håller i domstol. Riksrevisionens bedömning är att myndigheterna behöver anpassa sitt arbete med att skapa praxis och specifikt stöd för att motsvara den verklighet som regioner och kommuner står inför. Det är enligt Riksrevisionens bedömning först när de rättsliga förutsättningarna finns på plats som det systematiska informationssäkerhetsarbetet kan bedrivas effektivt inom vården och omsorgen.

5.1.3 Ingen av myndigheterna anser sig ha i ansvar att utforma stödet efter vårdens och omsorgens behov

Ansvaret för att stödja regioners och kommuners informationssäkerhetsarbete är delat mellan MSB, IMY och Socialstyrelsen. Granskningen visar att ingen av myndigheterna anser sig ha tydligt ansvar för och i uppdrag att utforma stöd för informationssäkerhetsarbete efter vårdens och omsorgens behov. Det kan minska effektiviteten i arbetet eftersom ingen tar ansvaret för att tillgodose vårdens och omsorgens behov av specifikt stöd. IMY ska ge stöd till alla sektorer i hur dataskyddsregelverket ska tolkas när personuppgifter behandlas. MSB saknar kompetens och kunskap om vårdens och omsorgens verksamheter och anser inte att de har i uppdrag att ge sektorsspecifikt stöd. MSB anser att det är Socialstyrelsen som har kunskapen om verksamheterna och ansvaret för att meddela föreskrifter, och som därmed ska ge specifikt stöd för vårdens och omsorgens informationssäkerhetsarbete. Socialstyrelsen är sektorsmyndighet för vården och omsorgen, och har meddelat föreskrifter om journalföring och behandling av personuppgifter i vården. Socialstyrelsen har god insyn i och kunskap om vård- och omsorgsgivarnas verksamheter men saknar kompetens inom informationssäkerhet, och anser inte att de har ett tydligt uppdrag att ge specifikt stöd till vårdens och omsorgens informationssäkerhetsarbete. Ingen av de kommuner och regioner som vi har talat med uppfattar heller att de kan få specifikt stöd som berör informationssäkerhet från Socialstyrelsen.

Riksrevisionen bedömer att regeringen behöver göra det tydligt att Socialstyrelsen är den myndighet som ska ansvara för att ge vård- och omsorgsgivare specifikt stöd som berör informationssäkerhet. Socialstyrelsen styr, stödjer och utvecklar verksamheter inom vården och socialtjänsten. I det ingår bland annat att stödja vård- och omsorgsgivarnas arbete med journalföring och behandling av personuppgifter som informationssäkerhet är en viktig del av. Det är enligt Riksrevisionens bedömning därför lämpligt att Socialstyrelsen ska ge anpassat stöd till vårdens och omsorgens informationssäkerhetsarbete.

5.1.4 Myndigheterna arbetar i stuprör och följer inte upp behoven av stöd

Statens samlade insatser bör leda till att stärka vård- och omsorgsgivares informationssäkerhet. Riksrevisionen konstaterar att MSB, Socialstyrelsen och IMY arbetar i stuprör och samverkar inte när de tar fram stödet till samhällets informationssäkerhet. Konsekvensen blir att det samlade stödet inte är samordnat eller anpassat efter de behov som finns inom vården och omsorgen.

Riksrevisionen konstaterar att myndigheterna sällan använder andra myndigheters uppföljningar och rapporter med information om brister och förbättringsbehov i regioners och kommuners informationssäkerhetsarbete när de tar fram och utvecklar stöd. Det innebär att de går miste om kunskap om brister som finns, vilket ökar risken att stödet inte är anpassat efter alla problemen.

Varken IMY eller Socialstyrelsen följer upp vilka behov av stöd som vården och omsorgen har eller hur det egna stödet tillgodoser deras behov. Därmed saknar de information för att bedöma om de egna stödjande insatserna har bidragit effektivt till att stärka deras informationssäkerhetsarbete. MSB har vid flera tillfällen följt upp det egna stödet och efterfrågat regioners och kommuners behov av stöd. Men MSB har inte anpassat det egna stödet utifrån resultaten så långt som till att ge specifik vägledning till vård och omsorg eftersom man inte anser sig ha ett sådant uppdrag.

Regeringen behöver säkerställa att myndigheterna vid behov samarbetar för att ta vara på varandras kunskaper och kompetenser, så att de kan utforma och anpassa stödet efter vårdens och omsorgens behov.

5.2 Rättsliga bestämmelser om systematiskt informationssäkerhetsarbete omfattar inte omsorgen och mindre vårdgivare

Lagstiftningen ger inte omsorgsgivare samma skyldigheter att skydda personuppgifter som de vårdgivare som omfattas av NIS-lagen, trots att de ofta hanterar lika känsliga uppgifter. Det är särskilt viktigt eftersom regeringen tagit flera initiativ för att underlätta för vård- och omsorgsgivare att samordna olika system för att dela personuppgifter.

Dataskyddsförordningen innehåller generella och tvingande bestämmelser för alla verksamheters skydd av personuppgifter vid behandling. PDL och Socialstyrelsens föreskrifter om journalföring och behandling av personuppgifter preciserar närmare kraven på vårdgivares informationssäkerhet. Motsvarande förtydliganden och krav finns till viss del för socialtjänsten, vilket innebär att det inte ställs samma tydliga krav på omsorgsgivarnas arbete med informationssäkerhet för personuppgifter. Det nya kravet som trädde i kraft i mars 2024, att även omsorgsgivare ska arbeta systematiskt med behörighetstilldelning och kontroll av sådana behörigheter är ett steg i rätt riktning, men otillräckligt. En konsekvens av detta är att kraven för att skydda personuppgifter inte har varit lika tydliga för omsorgsgivare.

Riksdagen och regeringen har bedömt att samhällets aktörer behöver arbeta systematiskt och riskbaserat för att höja sin informationssäkerhetsnivå. Men NIS-lagen och MSB:s föreskrifter om informationssäkerhet ställer enbart krav på vården att arbeta systematiskt och riskbaserat med informationssäkerhet. Det finns inga motsvarande krav på omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen. Ett problem med detta är att det kan leda till lägre prioritet och bristande engagemang hos regionernas och kommunernas ledningar när det gäller omsorgsgivares och mindre vårdgivares informationssäkerhetsarbete. Ett systematiskt informationssäkerhetsarbete som är välavvägt och anpassat efter verksamhetens behov kan leda till ett kostnadseffektivt skydd och till att säkerhetsincidenter undviks.

5.3 Tillsynen bidrar inte effektivt till att stärka informationssäkerheten

En effektiv tillsyn är viktig för att kontrollera om vård- och omsorgsgivares nivån för informationssäkerhet och efterlevnad av författningsreglerade krav. Tillsyn bidrar också till att ge vägledning till vård- och omsorgsgivare i att göra rätt. NIS-lagen och dataskyddsförordningen trädde i kraft 2018, vilket innebär skärpta krav på informationssäkerhet. Riksrevisionens granskning visar att IMY:s och IVO:s tillsyn är begränsad, och det är oklart om den inriktas mot verksamheter där den gör störst nytta. Tillsynen ger inte heller tillräckligt med rättslig vägledning om vad kraven på informationssäkerhet innebär i praktiken. Det är också oklart vilka effekter tillsynen har haft. IMY:s och IVO:s tillsyn behöver utvecklas för att i högre grad bidra till att stärka informationssäkerheten i vården och omsorgen.

5.3.1 Bristande kontroll av informationssäkerheten

IMY och IVO har i flera avseenden bedrivit en begränsad tillsyn av informationssäkerhet i vården och omsorgen inom ramen för sina respektive uppdrag vilket lett till bristande kontroll av informationssäkerheten, särskilt i kommunal vård och omsorg. Mellan 2018–2023 har varken IMY eller IVO bedrivit tillsyn av omsorgsgivare, och den tillsyn som har genomförts har omfattat få vårdgivare. IVO har också begränsat sin tillsyn av vårdgivare till att gälla delar av NIS-lagen, vilket gör att IVO inte fullt ut granskar den faktiska säkerheten i vårdgivarnas informationssystem och nätverk.

IMY har genomfört få tillsynsärenden av regionala vårdgivares informationssäkerhet och inga alls av kommunala vård- och omsorgsgivares. De kommunala vård- och omsorgsgivarnas informationssäkerhetsarbete har därmed inte varit föremål för kontroll sedan dataskyddsförordningen trädde i kraft. Eftersom IVO har begränsat sin tillsyn av vårdgivares informationssäkerhet till att enbart gälla NIS-lagen har de inte bedrivit tillsyn av omsorgsgivare eller de mindre vårdgivare som inte omfattas av lagen. IVO har dessutom valt att begränsa sin tillsyn av vårdgivare till enbart de bestämmelser i NIS-lagen som ställer krav på verksamheter att ta fram riskanalyser och åtgärdsplaner. En viktig orsak är att Socialstyrelsen ännu inte tagit fram föreskrifter till lagen, trots att regeringen vid flera tillfällen gett myndigheten i uppdrag att ta fram föreskrifterna. IVO anser att de inte kan bedöma om vårdgivare har vidtagit ändamålsenliga och proportionella tekniska och organisatoriska säkerhetsåtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem i enlighet med NIS-bestämmelserna.

5.3.2 Svårt att bedöma om tillsynen inriktats mot verksamheter där den gör störst nytta

Det är svårt att bedöma om tillsynen inriktats mot verksamheter där den gör störst nytta. Riksrevisionen bedömer att IMY:s och IVO:s egeninitierade riskbaserade tillsyn kan utvecklas och bli mer effektiv om tillsynsmyndigheterna utvecklar sitt arbete med riskanalyser.

IMY och IVO har prioriterat tillsyn av verksamheter som hanterar stora mängder personuppgifter och där antalet personer som potentiellt kan drabbas av en incident är störst, och inte verksamheter som har störst brister. Det har resulterat i att tillsynen framför allt inriktats mot större regionala vårdgivare. IMY har inte genomfört tillsyn av kommunala vård- och omsorgsgivare, och IVO:s tillsyn har i liten utsträckning omfattat mindre kommunala vårdgivare och enskilda vårdgivare.

Granskningen visar också att IMY och IVO inte i tillräcklig utsträckning tagit hänsyn till alla underlag som berör vårdens eller omsorgens brister i informationssäkerheten i sina riskanalyser. Till exempel finns kunskap från andra myndigheter som visar att det framför allt är kommunernas informationssäkerhetsarbete inom vården och omsorgen som har stora brister. De har inte heller analyserat mörkertalen i incidentrapporteringen från regioner och kommuner eller använt dem som underlag i riskanalysarbetet.

Sammantaget kan det leda till att tillsynen inte inriktas tillräckligt mot verksamheter med störst risker för bristande skydd av personuppgifter.

5.3.3 Tillsynen bidrar inte till rättslig vägledning

IMY:s och IVO:s tillsyn bidrar inte på ett effektivt sätt till att vård- och omsorgsgivare får rättslig vägledning om vad kraven på informationssäkerhet innebär i praktiken. IMY anser inte att de kan ge råd inom ramen för enskilda tillsynsärenden. IVO anser inte att de kan uttolka bestämmelserna i NIS-lagen som berör säkerhetsåtgärder i informationssystem och nätverk och vad de innebär i praktiken eftersom Socialstyrelsen inte tagit fram föreskrifter till lagen. Det har, i kombination med att IMY och IVO totalt fattat få tillsynsbeslut, gjort att tillsynen inte ger vård- och omsorgsgivare vägledning för hur de ska göra för att uppfylla olika bestämmelsers krav på skydd av personuppgifter.

IMY och IVO behöver också bli bättre på att förtydliga och sprida sina tillsynsresultat till en bredare krets än de som är föremål för tillsyn i enskilda ärenden, till exempel genom att sammanställa generella iakttagelser och bedömningar från tillsynsbesluten. Med en bredare återföring ökar förutsättningarna för att tillsynen ska bidra till lärande och utveckling av informationssäkerhetsarbetet.

5.3.4 Tillsynsmyndigheterna behöver följa upp sina beslut

Riksrevisionens bedömning är att IMY och IVO behöver bli bättre på att följa upp om granskade verksamheter har åtgärdat de brister som identifierats vid tillsynen. Tillsynsmyndigheterna har inte följt upp sina tillsynsbeslut systematiskt. Enligt IMY beror det på att tillsynsbesluten ofta överklagas. IVO har sedan 2023 börjat följa upp en del av sina tidigare tillsynsbeslut men har inte gjort det tidigare. Enligt IVO behöver verksamheterna tid för att genomföra de förbättringsåtgärder som krävts i besluten och att det inte funnits tillräckligt med beslut för att göra en systematisk uppföljning. Ingen av myndigheterna har heller följt upp resultatet av de beslut om sanktionsavgifter som de fattar enligt dataskyddsförordningen och NIS-lagen.

Det innebär att det är oklart i vilken utsträckning granskade verksamheter har åtgärdat de brister och problem som identifierats vid tillsynen, och även vilken effekt eventuella sanktioner har haft. Det gör att varken IMY, IVO eller regeringen har en bra bild av nivån för informationssäkerheten i tillsynade verksamheter. En systematisk uppföljning skulle också bidra till att utvärdera träffsäkerheten i myndigheternas riskanalyser.

5.3.5 IMY:s tillsyn är ineffektiv och tar lång tid att genomföra

Riksrevisionen bedömer att IMY kan effektivisera sin verksamhet, till exempel genom att förtydliga sina tillsynsprocesser och ta fram verksamhetsstöd till personalen. På så sätt kan resurser frigöras till den riskbaserade tillsynen som behöver öka i omfattning.

Granskningen visar att IMY:s tillsyn av vårdgivare mellan 2018 och 2022 var delvis riskbaserad och delvis händelsestyrd. Sedan 2021 har antalet riskbaserade och planerade tillsynsärenden minskat kraftigt. En förklaring är ett krav från EDPB 2021 som har resulterat i att IMY måste utreda samtliga klagomål som kommer in till myndigheten. Det har lett till att IMY i huvudsak genomför tillsyn baserat på klagomål från enskilda, vilket tar resurser från arbetet med att bedriva planerad och riskbaserad tillsyn. Till skillnad från riskbaserad tillsyn är den klagomålsbaserade tillsynen av begränsad omfattning.

En annan viktig förklaring är att IMY:s verksamhet är ineffektiv, vilket resulterat i långa handläggningstider. Den genomsnittliga handläggningstiden har legat högt sedan 2020, och IMY har inte lyckats minska tiden trots att effektiviseringsarbete har pågått i flera år. För mer omfattande tillsynsärenden, såsom riskbaserad och planerad tillsyn, var handläggningstiden i genomsnitt omkring 820 dagar. De långa handläggningstiderna beror delvis på att det saknas praxis att stödja sig mot och att IMY är försiktiga med att tolka lagstiftningen och sällan tar fram rättsliga ställningstaganden för att utveckla praxis. IMY lägger därför mycket tid på interna diskussioner och rättsutredningar för att förankra beslut i enskilda tillsynsärenden. En ytterligare förklaring till att IMY inte inleder fler tillsynsärenden är att många beslut överklagas, vilket enligt IMY kräver resurser. Även relativt hög personalomsättning och otydlig tillsynsprocess har bidragit till de långa handläggningstiderna. Det finns enligt Riksrevisionens bedömning möjligheter för IMY att effektivisera sin handläggning inom ramen för de yttre förutsättningarna för verksamheten.

5.4 Regeringen har inte sett till att styrningen är sammanhållen

Riksrevisionen bedömer att regeringen inte har tydligt fastställt ansvars- och uppgiftsfördelningen mellan IMY, MSB och Socialstyrelsen när det gäller att utforma stöd som motsvarar vårdgivares och omsorgsgivares behov. Regeringen har inte heller sett till att myndigheterna ska samordna sitt arbete för att effektivt utforma stödet. Regeringen har inte heller i tillräcklig utsträckning följt upp och skapat sig en samlad bild av myndigheternas arbete med stödjande insatser.

Dessutom har regeringen vidtagit få åtgärder för att myndigheternas stöd till vårdens och omsorgens informationssäkerhetsarbete ska bli mer anpassat efter deras behov. Regeringen har visserligen beslutat om statsbidrag för kommuner, slutit överenskommelser med SKR om stödjande insatser, tillsatt flera utredningar som delvis berör frågor om informationssäkerhet. Men dessa åtgärder har inte varit tillräckligt inriktade för att stärka vårdens och omsorgens informationssäkerhet.

Trots att omsorgen ofta hanterar lika känsliga personuppgifter som vården, har regeringen inte verkat tillräckligt för att omsorgsgivare ska omfattas av samma tydliga krav på säkerhetsåtgärder och systematiskt informationssäkerhetsarbete som vårdgivare, förutom när det gäller viss behörighetstilldelning och kontroll av behörigheterna.

5.5 Rekommendationer

Riksrevisionen bedömer att staten behöver arbeta mer effektivt med styrning av, stöd till och tillsyn av vård- och omsorgsgivares informationssäkerhetsarbete. Riksrevisionen lämnar därför nedanstående rekommendationer till regeringen och myndigheter i syfte att stärka vård- och omsorgsgivares informationssäkerhetsarbete.

Till regeringen

  • Förtydliga Socialstyrelsens ansvar för att ta fram verksamhetsanpassat stöd till vårdens och omsorgens informationssäkerhetsarbete. Stödet bör utformas utifrån vård- och omsorgsgivares behov och i samråd med relevanta myndigheter. Stödet kan bland annat innebära att:
    • identifiera sektorsspecifika risker och sårbarheter för informationssäkerhet.
    • ge exempel på lämpliga organisatoriska och tekniska säkerhetsåtgärder för informationssäkerhet.
    • ge stöd och vägledning i hur bestämmelserna för skydd av personuppgifter bör tolkas i generella fall.
  • Utred hur omsorgsgivare fullt ut kan omfattas av motsvarande bestämmelser för skydd av personuppgifter som vårdgivare.
  • Säkerställ att omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.

Till Inspektionen för vård och omsorg

  • Bedriv tillsyn som granskar om vårdgivare faktiskt uppfyller NIS-lagens samtliga krav på säkerhet i nätverk och informationssystem.
  • Utveckla arbetet med riskanalyser så att tillsynen i större utsträckning inriktas mot områden där bristerna i informationssäkerhet är som störst.
  • Utveckla uppföljningen av tillsynsbeslut för att säkerställa att tillsynen får avsedd effekt.

Till Integritetsskyddsmyndigheten

  • Effektivisera handläggningen av klagomåls- och tillsynsärenden och frigör därigenom resurser för att bedriva mer riskbaserad tillsyn.
  • Utveckla arbetet med riskanalyser så att tillsynen i större utsträckning inriktas mot områden där bristerna i informationssäkerhet är som störst.
  • Utveckla uppföljningen av tillsynsbeslut för att säkerställa att tillsynen får avsedd effekt.
  • [420] Som regeringen konstaterar är det i allmänhet dock inte lämpligt att tillsynsmyndigheten uppträder som konsult och ger råd om hur tillsynsobjekten ska agera i specifika ärenden. Det kan till exempel uppstå svårigheter om tillsynsmyndigheten tidigare lämnat mycket precisa råd i ärenden som sedan blir föremål för tillsyn. Tillsynsmyndigheten måste dock självklart kunna lämna upplysningar om vad som utgör gällande rätt (skr. 2009/10:79 s. 17).

Uppdaterad: 18 april 2024

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?