Informationssäkerhet

Informationssäkerhet är grundläggande vid all användning av digital teknik. Informationssäkerhet omfattar både administrativa rutiner och tekniskt skydd. Information behöver skyddas så att

75 _{Socialstyrelsen (2019c), s. 45.} 76 _{Socialstyrelsen (2019c), s. 50.} 77 _{Socialstyrelsen (2019c), s. 50.}

Digital teknik för vård och omsorg SOU 2020:14

– den är åtkomlig och användbar när den behövs (tillgänglighet), – den går att lita på, är korrekt och inte manipulerad eller förstörd

(riktighet) och

– så att endast behöriga personer får ta del av den (konfidentialitet). För att kunna påvisa och övervaka dessa tre säkerhetsaspekter måste man också kunna följa hur och när informationen har hanterats och kommunicerats (spårbarhet).78

Enligt Datainspektionen handlar informationssäkerhet framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas. Registrerade ska veta vem som använder deras personuppgifter och för vilka syften.79

Den som olovligen bereder sig tillgång till uppgifter som är av- sedda för automatisk behandling gör sig skyldig till dataintrång.80

Även om någon samtyckt eller uppmanat en användare att kontrol- lera något om personen i ett verksamhetssystem kan det resultera i ansvar för dataintrång för den som berett sig tillgång till uppgifterna. Utrednings- och anmälningsskyldighet enligt 7 kap. 6 § och 14 kap. 6–7 §§ socialtjänstlagen (lex Sarah) aktualiseras också.

Utgångspunkten är att behörigheten ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Ju bredare behörighet en anställd har desto viktigare är det att ha tydliga riktlinjer för när det är tillåtet att ta del av information i verk- samhetssystemet. Behörighetstilldelning blir beroende av flera fak- torer, som hur arbetsuppgifterna ser ut, hur många personer det är som har samma arbetsuppgifter och hur socialtjänsten är organise- rad. Det är sällan möjligt att ge en exakt behörighet och ges en för låg behörighet riskerar den anställde att inte kunna utföra sina arbets- uppgifter. En för hög behörighet kan dock medföra att personer får

78 _{www.informationssakerhet.se (dvs. Myndigheten för samhällsskydd och beredskap).} 79 _{Se även Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om}

skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsför- ordning), skäl 47.

SOU 2020:14 Digital teknik för vård och omsorg

tillgång till personuppgifter och personliga förhållanden som de inte behöver ha tillgång till. Det gäller att hitta en lagom nivå.81

Datainspektionen har kritiserat en nämnd som hade gett anställda behörighet till fler personuppgifter än vad som var nödvändigt för att kunna utföra arbetet inom socialtjänsten. Datainspektionen an- såg det rimligt att hemtjänstpersonal har teknisk tillgång till uppgif- ter om kunder inom olika geografiska områden, men för att minska risken för intrång var det nödvändigt att ge personalen anvisning om hur verksamhetssystemet fick användas så att både sekretess- och dataskyddsreglerna följdes.82

Autentisering innebär att kontrollera identitet vid kommunikation mellan två system. Ett begrepp som används i det sammanhanget är säker roll- och behörighetsidentifikation. Med det avses i de flesta fall en stark autentisering där inloggningen även kopplas till en roll. I Socialstyrelsens föreskrifter och allmänna råd83 _{definieras stark}

autentisering som kontroll av uppgiven identitet på två olika sätt. Datainspektionen har i sin tillsyn beskrivit stark autentisering som att åtkomst till uppgifterna föregås av en autentisering med två faktorer. Datainspektionen har uttalat att om känsliga eller integri- tetskänsliga personuppgifter får lämnas ut över öppet nät, t.ex. inter- net, ska användarnas identitet säkerställas med en teknisk funktion som ger en stark autentisering. I beslutet framgår att önskvärda egen- skaper hos starka autentiseringslösningar innefattar att användare ska kunna förlora kontrollen över en faktor utan att säkerheten för skyddsobjektet helt går förlorad samt att det ska gå att upptäcka och vidta åtgärder om det händer.84

I kommunerna finns system där personuppgifter behandlas, främst lokala verksamhetssystem för socialtjänstens personakter och patient- journaler i den kommunala hälso- och sjukvården. Utöver detta brukar hälso- och sjukvårdspersonal ha tillgång till vissa nationella system, t.ex. kvalitetsregister inom äldreomsorgen, Nationella patient- översikten (NPÖ) eller Pascal.85 _{Personal som arbetar ute i verksam-} 81 _{Socialstyrelsen (2019a). Säker personuppgiftsbehandling i socialtjänsten. Rättsläge och ut-}

gångspunkter, s. 29.

82 _{Socialstyrelsen (2019a), s. 29.}

83 _{Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av person-}

uppgifter i hälso- och sjukvården. (HSLF-FS 2016:40)

84 _{Datainspektionens beslut 2015-07-03, dnr 643-2015. Datainspektionens beslut 2016-02-17,}

dnr 1805-2015.

85 _{Pascal ordinationsverktyg är ett nationellt verktyg för ordination av dosläkemedel, där}

Digital teknik för vård och omsorg SOU 2020:14

heterna behöver ha tillgång till dessa uppgifter i sitt dagliga arbete. Samtidigt skyddas personuppgifter i systemen av sekretess. Syste- men behöver därför vara utrustade med inloggnings- och åtkomst- rutiner för att enbart behörig personal ska få tillgång till uppgifterna. För åtkomst till personuppgifter i socialtjänsten och i hälso- och sjukvården krävs som nämnts stark autentisering. Med detta avses i de flesta fall en e-legitimation som är kopplad till en katalog där rollerna finns angivna. Medarbetaren använder e-legitimationen vid inloggning till systemen tillsammans med en personlig pinkod eller ett engångslösenord.

Vidare har Datainspektionen i sin tidigare tillsyn ansett att det är viktigt att genomföra logguppföljning (loggning) för att på förekom- men anledning eller genom stickprover kontrollera om det förekom- mer obehöriga slagningar. För att obehörig åtkomst ska upptäckas och för att logguppföljningar ska få en preventiv effekt behövs rutiner för logguppföljningar och tydlig information till personalen. Behovet av logguppföljning följer av säkerhetskraven i artikel 5.1 f och artikel 32 i dataskyddsförordningen, då personuppgiftsansvariga ska vidta tekniska och organisatoriska åtgärder för att skydda be- handlade uppgifter.

För att kunna kontrollera åtkomsten av olika uppgifter behöver det finnas behandlingshistorik. När historik över personuppgifts- behandling förs är en grundläggande utgångspunkt att det behöver finnas möjligheter att utreda vem som har gjort vad med vilka upp- gifter och när. Av Datainspektionens inte längre gällande, men till viss del alltjämt relevanta, allmänna råd om säkerhet för person- uppgifter framgår att för att åtkomst ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behand- lingshistorik som sparas en viss tid och skyddas mot otillåtna änd- ringar. Den bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Be- handlingshistoriken bör, beroende på känsligheten hos uppgifterna, ange t.ex. läsning, ändring, utplåning eller kopiering. I de allmänna råden framgick också att en behandlingshistorik har en förebyggande funktion om användarna informeras om att det förs en behandlings- historik och känner till att den kontrolleras.

Klassificering är en grundläggande aktivitet för att skydda infor- mation. Genom att klassa information kan kommunen avgöra vilka åtgärder som behöver genomföras för att säkra riktigheten och hur

SOU 2020:14 Digital teknik för vård och omsorg

man bäst ska göra informationen tillgänglig för behöriga personer. Vidare identifieras vilken information som behöver skyddas på grund av personuppgifts- och sekretessregler. I samband med en uppfölj- ning av kommunernas informationssäkerhetsarbete rekommende- rade Myndigheten för samhällsskydd och beredskap (MSB):86

– Identifiera vilken information som hanteras i verksamheten. Klassa sedan informationen efter hur allvarliga konsekvenserna skulle bli av bristande informationssäkerhet. Fokusera på den mest kritiska informationen/känsliga informationen.

– Etablera och implementera en process för riskhantering och se till att den är spridd inom kommunen.

– Identifiera informationssäkerhetsrisker och bedöm dessa. – Se till att omsätta riskanalysens resultat i beslut och konkreta

åtgärder. Dessa beslut samt åtgärder bör vara dokumenterade. Detta är särskilt viktigt för de kritiska processerna i kommunen! – Kommunledningen bör ”säkra upp” så att den blir kontinuerligt informerad om informationssäkerhetsriskerna och hanteringen av dessa, särskilt vad avser samhällsviktig verksamhet.

– Genomför riskanalys vid varje förändring i kritiska system.87

Över 200 kommuner och sex regioner använder sig av SKR:s verktyg ”Klassa”.88 _{I verktyget informationssäkerhetsklassas information i}

ett verksamhetssystem utifrån vilka konsekvenser som uppstår om t.ex. informationen inte kan nås, om den förvanskas eller om det finns brister i vem som får komma åt informationen. En del av arbetet med informationsklassning innebär att fastställa säkerhetsnivåer för dessa konsekvenser utifrån ”försumbar” till ”synnerligen allvarlig” från tre olika perspektiv: konfidentialitet, riktighet och tillgänglighet. Social- tjänstens information om individer som är aktuella hos socialtjäns- ten hamnar i likhet med hälso- och sjukvårdens patientinformation oftast i den högsta säkerhetsnivån i Klassa.

86 _{MSB (2016). Informationssäkerheten i Sveriges kommuner – Analys och rekommendationer} utifrån MSB:s kommunenkät. Se även MSB (2015). En bild av kommunernas informations- säkerhetsarbete 2015.

87 _{MSB har ett metodstöd för systematiskt informationssäkerhetsarbete oavsett verksamhets-}

område och storlek på organisation. I metodstödet finns vägledningar, verktyg och exempel med mera. Metodstödet finns på webbplatsen informationssäkerhet.se

Digital teknik för vård och omsorg SOU 2020:14

I verktyget finns handlingsplaner för autentisering, behörighets- styrning och åtkomstkontroll. I den handlingsplan som klassningen resulterar i finns förslag på åtgärder som verksamheten ska vidta för att uppnå rätt säkerhet i förhållande till den klassade nivån. I verk- tyget finns referenser till dataskyddsförordningen, ISO-standarder m.m. Säkerhetskraven kan tas ut i form av upphandlingskrav.89

Myndigheten för samhällsskydd och beredskap (MSB) har publi- cerat ett Metodstöd för systematiskt informationssäkerhetsarbete90 _som

riktar sig till den som arbetar med informationssäkerhet, oavsett organisationens verksamhetsområde och storlek. Metodstödet byg- ger på standarden SS-EN ISO/IEC 27001 Ledningssystem för infor- mationssäkerhet.91 _{MSB har också tagit fram flera vägledningar som}

riktar sig till medarbetare och chefer i kommuner och regioner samt kommunala och regionägda organisationer som arbetar med sam- hällsviktiga verksamheter, upphandling eller krisberedskap. Upp-

handla informationssäkert – en vägledning beskriver ett arbetssätt för

att identifiera säkerhetskrav vid olika typer av upphandlingar. Upp-

handling till samhällsviktig verksamhet – en vägledning utgör ett stöd

för hur kontinuitet, funktionalitet och leveransförmåga kan säker- ställas vid upphandling till samhällsviktig verksamhet.