Brister i socialtjänstens informationssäkerhet

I samband med en undersökning av Socialstyrelsen om säker person- uppgiftsbehandling inom socialtjänsten uppgav SKR bl.a. följande.92

Kommuner lägger upp sitt informationssäkerhetsarbete på olika sätt. Det kan finnas en central informationssäkerhetssamordnare på kommunledningsnivå som arbetar gentemot alla nämnderna i kom- munen. Det förekommer dock att de olika nämnderna i stället har informationssäkerhetssamordnare i sina respektive förvaltningar och dessa fungerar då mer självständigt och fokuserar på ”sin” för-

89 _{Att genomföra en klassificeringsworkshop enligt Klassa tar enligt uppgift en halv dag.} 90 _{MSB. (2019). Metodstöd för systematiskt informationssäkerhetsarbete.}

www.informationssakerhet.se/metodstodet/

91 _{År 2011 lanserades det första metodstödet för systematiskt informationssäkerhetsarbete, då}

under namnet metodstöd för LIS (ledningssystem för informationssäkerhet). Det reviderade Metodstödet är textmässigt avskalat och innehållsmässigt strukturerat på ett delvis annat sätt. Den stora skillnaden är enligt MSB att 2011 års version fokuserar mer på införandet av ett systematiskt informationssäkerhetsarbete och att detta är upplagt som ett projekt. Det finns inga motsättningar mellan 2011 års version och den reviderade versionen som lanserades 2018.

SOU 2020:14 Digital teknik för vård och omsorg

valtning. Olikheterna kan bero på kommunens storlek men även på nämndindelningen. Arbetet med dataskydd och rutiner för säker personuppgiftsbehandling har normalt sett hanterats nära informa- tionssäkerhetsarbetet, men även här finns det variationer. Genom dataskyddsförordningen finns nu en mer tydlig beskrivning av arbets- uppgifterna. För kommuner kan det ändå finnas behov av vägledning på en mer praktisk nivå, framhöll SKR.

När en person påbörjar en tjänst behöver personen få tillgång till de system som behövs för att personen ska kunna utföra sina arbets- uppgifter. Det är i regel en enhetschef eller motsvarande som beslu- tar om behörighet för en anställd och en systemförvaltare eller mot- svarande som ser till att den anställde får den beslutade behörigheten i ett visst verksamhetssystem. Det märks av naturliga skäl om en an- ställd inte har tillgång till ett verksamhetssystem i tillräcklig stor ut- sträckning för att kunna utföra sina arbetsuppgifter. Det finns emel- lertid en risk att det inte märks på samma sätt när en person byter tjänst inom en och samma kommun eller nämnd och behörigheten inte längre motsvarar personens arbetsuppgifter. Liksom vid beslut om att en person ska tilldelas en viss behörighet när en tjänst tillträds så är det också viktigt att se till att behörigheten till aktuella verksam- hetssystem upphör när personen avslutar en tjänst som inneburit behov av tillgång till viss information. Det är förstås problematiskt om den tekniska möjligheten att styra behörigheter inte svarar mot behovet av styrning. En åsikt som kommer fram i samtal med verk- samhetsföreträdare är att verksamhetskunskap är nödvändig för att kunna analysera roll- och behörighetstilldelning – arbete med att de- finiera rollerna och koppla dessa till en behörighet är alltså en verk- samhetsfråga och inte en it-fråga.93

Enligt regionala e-hälsosamordnare som Socialstyrelsen varit i kontakt med förekommer inom socialtjänsten att anställda använder sitt personliga mobila Bank-ID. En del tycker att det är smidigare än annan säker inloggning. En sådan lösning säger emellertid inte något om användarens roll på arbetsplatsen. Det förekommer att personal inom hemtjänsten har en personlig inloggning men där utrustningen delas; exempelvis kan personligt Bank-ID finnas på en smart telefon eller surfplatta som används av flera. Att använda en privat e-legi- timation i tjänsten strider mot principen om att skilja mellan det som görs privat och i tjänsten. Det kan också behövas en e-legitimation

Digital teknik för vård och omsorg SOU 2020:14

som inte exponerar den anställdes personuppgifter. Det förekommer alltjämt missuppfattningar om att tvåfaktorsinloggning kan vara det- samma som att en användare har ett användarnamn och ett lösenord, vilket alltså inte är korrekt. En lösning på behovet av säker inlogg- ning är att arbetsgivaren förser sina anställda med e-legitimationer i tjänsten. Detta förenklar även samarbetet mellan olika förvaltningar och myndigheter.

Ett grundläggande sätt att upprätthålla informationssäkerhet är att göra regelbundna uppföljningar av risker och behov av utveck- ling. Socialstyrelsen ställde i sin enkät om e-hälsa och välfärdsteknik för 2019 frågan om kommunen regelbundet (dvs. minst en gång per år) följer upp risker och behov av utveckling av informationssäker- heten i socialtjänsten. Det var 55 procent av kommunerna som upp- gav att de gör sådana uppföljningar. Bara ett mindre antal kommuner uppgav att de bedriver ett systematiskt informationssäkerhetsarbete sedan flera år tillbaka. Många kommuner hade dock påbörjat ett systematiskt arbete under just 2018 med hänvisning till GDPR.9495

Vidare kan konstateras att i Socialstyrelsens undersökning av e-hälsa och välfärdsteknik i kommunerna 2018 var det bara 16 procent av kommunerna som uppgav att de hade informationsklassat alla objekt, medan 54 procent hade klassat delar. Det var dock 30 procent av kommunerna som inte hade gjort någon säkerhetsklassning alls.96

De flesta omsorgsföretag som Socialstyrelsen intervjuade gjorde inte några informationsklassningar och riskbedömningar alls. På frågan om arbetet med informationssäkerhet nämnde de flesta att de sett över hanteringen av personuppgifter i samband med att GDPR trädde i kraft 2018. Det nämndes också att man använder krypterad kommunikation, automatisk utloggning ur system (och mobiler) vid en viss tids inaktivitet och att man tagit fram en informationssäker- hetspolicy. Ett företag uppgav att de har genomfört en informations- klassning eftersom kommunen hade krävt detta. I övrigt hade före- tagen inte arbetat med informationsklassning eller uppföljning av några risker som är kopplade till informationssäkerheten.97

94 _{Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd}

för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

95 _{(2016/679/EU), s. 28 f.}

96 _{Av de som hade gjort någon klassning var det 65 procent som använt sig av KLASSA. Fem}

kommuner hade gjort klassning utifrån MSB:s modell. Andra kommuner hade egna modeller.

SOU 2020:14 Digital teknik för vård och omsorg

Nationella system som kvalitetsregister, NPÖ och Pascal kräver säker roll- och behörighetsidentifikation men många lokala verksam- hetssystem gör det inte. I 80 procent av kommunerna kräver en del system stark autentisering för inloggning, men bara i 13 procent av kommunerna gällde det för alla system (2019). I flera kommuner krävs stark autentisering för att komma åt verksamhetssystemet ut- ifrån, t.ex. via mobila enheter, men däremot inte när personalen an- vänder stationära datorer inom kommunens nätverk.

Olika personalgruppers möjligheter att logga in på ett säkert sätt skiljer sig åt. Hälso- och sjukvårdspersonal har tillgång till säker roll- och behörighetsidentifikation i större omfattning än socialtjänst- personal. I en majoritet av kommunerna (93 procent) använder all legitimerad hälso- och sjukvårdspersonal en stark autentisering vid inloggning i verksamhetssystem och andra system där personuppgif- ter behandlas. Lite anmärkningsvärt har dock andelen minskat från 96 procent till 93 procent, vilket skulle kunna bero på att kommu- nerna installerar fler system som inte kräver säker inloggning.98

Socialtjänstpersonal använder inte stark autentisering i lika hög utsträckning som hälso- och sjukvårdspersonal. Det finns dessutom skillnader mellan myndighetsutövningen och utförare.99 _{När det}

gäller utförande verksamheter ökar andelen kommuner där all perso- nal använder stark autentisering. Det är dock en minoritet av kom- munerna där all personal använder stark autentisering, vilket gäller på alla verksamhetsområden. Flera kommuner som tillämpar säkra inloggningar beskriver dessutom att vikarier och timanställda inte har tillgång till sådan inloggning och därmed inte heller har tillgång till verksamhetssystem och andra system.

Liksom kommunernas socialtjänst hanterar vård- och omsorgs- företag information om enskilda personer. Användningen av säkra inloggningar varierar, visar de intervjuer som Socialstyrelsen har gjort inför 2019 års undersökning. Personalen loggar som regel in i verksamhetssystemen med användarnamn och ett personligt lösen- ord som byts med jämna mellanrum. Det förekommer också att per- sonal använder inloggning med stark autentisering genom exempel- vis lösenord på ett lösenordskort, en kod som skickas via sms eller

98 _{Socialstyrelsen (2019a), s. 31.}

99 _{Inom äldreomsorgen är det 78 procent av kommunerna där all handläggande personal an-}

Digital teknik för vård och omsorg SOU 2020:14

s.k. SITHS-kort. Det förekommer att enbart hälso- och sjukvårds- personalen använder stark autentisering. I flera företag finns olika sätt att logga in beroende på behörigheter. Det innebär ofta att chefer med högre behörighet använder stark autentisering.100

Socialstyrelsens samlade bild är dessvärre att det systematiska informationssäkerhetsarbetet hos kommuner och andra utförare inom kommunal hälso- och sjukvård och socialtjänst uppvisar vissa brister. En förklaring till att kommunerna inte säkrar verksamhets- systemen och andra system kan vara att arbetet med att säkra roll- och behörighetsidentifikationen är en process som berör flera för- valtningar och arbetet är därmed omfattande, komplext och förknip- pat med kostnader. Dagens lösningar för stark autentisering upplevs dessutom ofta som stela och svåra att applicera i alla situationer, t.ex. i mobila lösningar.101 _{Det tillkommer ibland appar som inte är säk-}

rade med en stark autentisering. Leverantörerna har gjort bedöm- ningen att en sådan inte är nödvändig och kommunerna litar till stor del på leverantörerna när de köper in välfärdsteknik.

Socialstyrelsen ansåg att den svaga utvecklingen när det gäller stark autentisering beror på att kommunerna, och delvis leverantö- rerna, saknar kunskap om att man behöver det för inloggning i de system där personuppgifter behandlas. Bristen på utveckling handlar åtminstone delvis om att socialtjänsten inte själva äger frågan om informationssäkerheten för sina verksamheter. Kommunerna har många verksamheter som behandlar uppgifter med olika krav på säkerhet. Socialtjänstens behov beaktas inte alltid i de kommun- gemensamma lösningarna. Det finns säkra lösningar, men de är svåra att använda i alla delar av socialtjänstens verksamheter. Leverantörer har ofta egna lösningar, vilket medför att personalen behöver förhål- la sig till olika inloggningsrutiner i olika appar.102

I rapporten konstaterades att det saknas en nationell reglering av säkerhetsåtgärder som är specifik för socialtjänstens personuppgifts- behandling. Socialtjänsten behandlar personuppgifter som är käns- liga på samma nivå som de personuppgifter som behandlas inom hälso- och sjukvården. Därför kan man när man överväger säkerhets-

100 _{Socialstyrelsen (2019a), s. 51.}

101 _{Enligt Socialstyrelsen bygger den vanligaste lösningen på Ineras SITHS-kort som är kopplade}

till en HSA-katalog där roller och behörigheter finns definierade. SITHS-korten är anpassade för hälso- och sjukvårdens personalgrupper och det finns inga generella alternativ som ger samma nivå på säkerheten. Det finns kommuner som väljer att låta personalen använda sin personliga e-legitimation (Bank-ID) för att uppnå stark autentisering.

SOU 2020:14 Digital teknik för vård och omsorg

åtgärder för personuppgiftsbehandling inom socialtjänsten jämföra med vad som gäller för hälso- och sjukvården, ansåg Socialstyrelsen. Enligt Integritetskommittén är en uppförandekod en möjlighet för sammanslutningar som företräder personuppgiftsansvariga eller personuppgiftsbiträden att inom en viss bransch eller sektor speci- ficera hur man i praktiken ska tillämpa dataskyddsförordningens bestämmelser. Ett samarbete mellan personuppgiftsansvariga inom hälso- och sjukvård och socialtjänst om gemensamma uppförande- koder skulle kunna vara ett sätt att lösa tillämpningsproblemen, menade kommittén.103 _{Enligt Socialstyrelsen finns i dagsläget inte}

några godkända uppförandekoder eller certifieringsmekanismer som är av direkt och fullständig relevans för socialtjänstens arbete med just säker personuppgiftsbehandling.104 _{Det finns dock ISO-standar-}

der i 27000-serien för informationssäkerhet. I dessa finns detaljerade krav för exempelvis behörighetsstyrning.105