Otillräckliga insatser för informationssäkerhet inom vård och omsorg
Vård- och omsorgsgivare hanterar stora mängder känsliga personuppgifter digitalt, till exempel i journaler. Staten ansvarar för att stödja deras informationssäkerhetsarbete och bedriver även tillsyn. Riksrevisionens granskning visar att statens arbete behöver bli mer effektivt.
Vård- och omsorgsgivare har ett ansvar för att personuppgifter hanteras och skyddas rätt. Informationssäkerhet är ett komplext område i snabb förändring, och som regleras i en rad olika lagar.
Riksrevisionens granskning visar att Integritetsskyddsmyndigheten, Myndigheten för samhällsskydd och beredskap (MSB), Inspektionen för vård och omsorg (IVO) och Socialstyrelsen inte bidrar till att stärka informationssäkerheten inom vården och omsorgen på ett effektivt sätt. Det beror bland annat på att ingen av myndigheterna anser sig ha ett tydligt ansvar för att ge specifikt stöd till vård- och omsorgsgivares informationssäkerhetsarbete. Myndigheterna arbetar dessutom i stuprör och samverkar sällan för att anpassa stödet så att det motsvarar behoven.
Varken Integritetsskyddsmyndigheten eller Socialstyrelsen följer upp vilka behov av stöd som finns, eller om det stöd som ges är tillräckligt. Därmed kan de inte bedöma om insatserna har bidragit till att stärka informationssäkerhetsarbetet.
– Stödet är inte tillräckligt anpassat efter behoven, till exempel när det gäller lämpliga säkerhetsåtgärder. Vård- och omsorgsgivare får inte den rättsliga vägledning som de behöver för att uppnå ett tillräckligt skydd för personuppgifter, säger Nedim Colo, projektledare för granskningen.
En konsekvens är att regioner och kommuner inte får tillräckligt med stöd i hur de kan förbättra sitt informationssäkerhetsarbete, vilket kan leda till otillräckligt skydd för personuppgifter och varierande skyddsnivåer i olika delar av landet.
Granskningen visar vidare att myndigheternas tillsyn inte bidrar till att stärka skyddet av personuppgifter på ett effektivt sätt. Tillsynen har omfattat endast få vårdgivare och inga omsorgsgivare.
IVO:s tillsyn omfattar dessutom inte fullt ut säkerheten i vårdgivarnas informationssystem och nätverk där personuppgifter hanteras. Och eftersom tillsynen inte följs upp är det oklart vilka effekter den har och om den riktas dit den gör störst nytta.
Granskningen omfattar även regeringens styrning på området. Riksrevisionen bedömer att regeringens insatser för att stärka informationssäkerhetsarbetet inom vård och omsorg varit otillräckliga. Till exempel har regeringen inte förtydligat vilken myndighet som har ansvar för att ge vård- och omsorgsgivare specifikt stöd som berör informationssäkerhet.
Regeringen har heller inte sett till att omsorgsgivare omfattas av samma krav på säkerhetsåtgärder och systematiskt informationssäkerhetsarbete som vårdgivare, trots att de hanterar liknande känsliga personuppgifter.
– Statens insatser för informationssäkerhet inom vård och omsorg behöver bli mer effektiva. Regeringen och myndigheterna rekommenderas vidta åtgärder inom flera områden, säger riksrevisor Helena Lindberg.
Rekommendationer i korthet
Regeringen rekommenderas bland annat att förtydliga Socialstyrelsens ansvar att ta fram verksamhetsanpassat stöd till vårdens och omsorgens informationssäkerhetsarbete. Regeringen bör även säkerställa att omsorgsgivare och mindre vårdgivare omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.
IVO rekommenderas bland annat att bedriva tillsyn som granskar om vårdgivare uppfyller samtliga lagkrav på säkerhet i nätverk och informationssystem.
Integritetsskyddsmyndigheten rekommenderas bland annat att effektivisera handläggningen av klagomåls- och tillsynsärenden och därigenom frigöra resurser för mer riskbaserad tillsyn.
Läs mer i rapporten direkt på webben.