Socialutskottets betänkande

2024/25:SoU10

 

Riksrevisionens rapport om statens arbete med informationssäkerhet i vård och omsorg

Sammanfattning

Utskottet föreslår att riksdagen lägger skrivelsen till handlingarna.

I skrivelsen redogör regeringen för sin bedömning av de iakttagelser som Riksrevisionen har gjort och de rekommendationer som den riktar till regeringen i rapporten Informationssäkerhet i vård och omsorg – statens stöd och tillsyn.

Behandlade förslag

Skrivelse 2024/25:23 Riksrevisionens rapport om statens arbete med informationssäkerhet i vård och omsorg.

 

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Utskottets överväganden

Statens arbete med informationssäkerhet i vård och omsorg

Bilaga
Förteckning över behandlade förslag

Skrivelsen

 

Utskottets förslag till riksdagsbeslut

 

 

Statens arbete med informationssäkerhet i vård och omsorg

Riksdagen lägger skrivelse 2024/25:23 till handlingarna.

 

Stockholm den 21 januari 2025

På socialutskottets vägnar

Christian Carlsson

Följande ledamöter har deltagit i beslutet: Christian Carlsson (KD), Fredrik Lundh Sammeli (S), Carina Ståhl Herrstedt (SD), Johan Hultberg (M), Carita Boulwén (SD), Mikael Dahlqvist (S), Jesper Skalberg Karlsson (M), Anna Vikström (S), Leonid Yurkovskiy (SD), Gustaf Lantz (S), Malin Höglund (M), Karin Rågsjö (V), Christofer Bergenblock (C), Mona Olin (SD), Ulrika Westerlund (MP), Lina Nordquist (L) och Karin Sundin (S).

 

 

 

 

Redogörelse för ärendet

Den 18 april 2024 överlämnade riksdagen Riksrevisionens rapport Informationssäkerhet i vård och omsorg – statens stöd och tillsyn (RiR 2024:6) till regeringen. Den 15 oktober 2024 återkom regeringen till riksdagen med skrivelse 2024/25:23 Riksrevisionens rapport om statens arbete med informationssäkerhet i vård och omsorg.

I betänkandet behandlar utskottet regeringens skrivelse.

Vid utskottets sammanträde den 16 maj 2024 informerade företrädare från Riksrevisionen om Riksrevisionens rapport.

Utskottets överväganden

Statens arbete med informationssäkerhet i vård och omsorg

Utskottets förslag i korthet

Riksdagen lägger skrivelsen till handlingarna.

 

Skrivelsen

Riksrevisionens iakttagelser

Syftet med Riksrevisionens granskning har varit att granska om statens arbete för att stärka skyddet av personuppgifter som hanteras digitalt är effektivt. Granskningen har utgått från följande två delfrågor:

  1. Är myndigheternas arbete med att styra och stödja vårdens och omsorgens informationssäkerhetsarbete effektivt?
  2. Är myndigheternas tillsyn av vårdens och omsorgens informationssäkerhet effektiv?

Riksrevisionens övergripande slutsats är att statens arbete med att stärka skyddet för personuppgifter som hanteras digitalt inom vården och omsorgen inte är effektivt. Riksrevisionen konstaterar att detta beror dels på att stödet inte är tillräckligt anpassat efter behoven, dels på att tillsynen är begränsad.

En annan av Riksrevisionens iakttagelser är att lagstiftningen inte ger omsorgsgivare samma skyldigheter att skydda personuppgifter som de vårdgivare som omfattas av lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, benämnd NIS-lagen, trots att de ofta hanterar lika känsliga uppgifter.

En ytterligare iakttagelse av Riksrevisionen är att Integritetsskydds­myndighetens (Imy) och Inspektionen för vård och omsorgs tillsyn är begränsad samt att det är oklart om den riktas mot verksamheter där den gör störst nytta. Vidare ger inte tillsynen tillräckligt med rättslig vägledning om vad kraven på informationssäkerhet innebär i praktiken. Riksrevisionen konstaterar även att det är oklart vilka effekter tillsynen har haft. 

Slutligen bedömer Riksrevisionen att regeringen inte har sett till att styrningen är sammanhållen. Riksrevisionen konstaterar att regeringen inte tydligt har fastställt en ansvars- och uppgiftsfördelning mellan Imy, Myndig­heten för samhällsskydd och beredskap och Socialstyrelsen när det gäller att utforma stöd som motsvarar vårdgivares och omsorgsgivares behov. Riksrevisionen konstaterar också att regeringens åtgärder inte varit tillräckliga för att stärka vårdens och omsorgens informationssäkerhetsarbete, även om visst arbete gjorts. Vidare konstaterar Riksrevisionen att regeringen inte har verkat tillräckligt för att omsorgsgivare ska omfattas av samma krav på säk­erhetsåtgärder och systematiskt säkerhetsarbete som vårdgivare.

Riksrevisionen lämnar följande rekommendationer till regeringen:

       Förtydliga Socialstyrelsens ansvar för att ta fram verksamhetsanpassat stöd till vårdens och omsorgens informationssäkerhetsarbete. Stödet bör utformas utifrån vård- och omsorgsgivarens behov och i samråd med relevanta myndigheter. Stödet kan bl.a. innebära att

      identifiera sektorsspecifika risker och sårbarheter för informations­säkerhet

      ge exempel på lämpliga organisatoriska och tekniska säkerhetsåtgärder för informationssäkerhet

      ge stöd och vägledning i hur bestämmelserna för skydd av personuppgifter bör tolkas i generella fall.

       Utred hur omsorgsgivare fullt ut kan omfattas av motsvarande bestämmelser för skydd av personuppgifter som vårdgivare.

       Säkerställ att omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.

Regeringens bedömningar och åtgärder

Regeringen välkomnar Riksrevisionens granskning och anser att rapporten utgör ett värdefullt underlag för regeringens arbete med att stärka informations- och cybersäkerhetsarbetet. Regeringen instämmer huvud­sakligen i Riksrevisionens övergripande analys och slutsatser. I skrivelsen anges att regeringen har vidtagit och vidtar flera åtgärder i syfte att stärka informations- och cybersäkerhetsarbetet. Regeringen bedömer sammantaget att Riksrevisionens iakttagelser och rekommendationer tillgodoses av dessa åtgärder.

Regeringen anser att det är viktigt med en tydlig ansvars- och uppgiftsfördelning för att de statliga förvaltningsmyndigheterna ska kunna fullgöra sina uppdrag på ett så effektivt sätt som möjligt. Det är även centralt att myndigheterna samverkar med varandra för att kunna fullgöra sina uppdrag. I likhet med Riksrevisionen anser regeringen att informations- och cybersäkerhetsarbetet kan bli mer samordnat, vilket bl.a. arbetet med en ny nationell informations- och cybersäkerhetsstrategi med tillhörande handlings­plan syftar till.

När det gäller rekommendationen att förtydliga Socialstyrelsens ansvar för att ta fram verksamhetsanpassat stöd anför regeringen att Socialstyrelsen har ett bemyndigande att meddela föreskrifter som är av betydelse för de personuppgiftsansvarigas säkerhetsåtgärder vid behandling av person­uppgifter. Därmed, och då även andra myndigheter enligt regeringen har i uppgift att ta fram sådant stöd som Riksrevisionen efterfrågar, bedömer regeringen att det inte är aktuellt med något ytterligare förtydligande av Socialstyrelsens ansvar i dagsläget.

När det sedan gäller rekommendationen att utreda hur omsorgsgivare fullt ut kan omfattas av motsvarande bestämmelser för skydd av personuppgifter som vårdgivare konstaterar regeringen att det finns både likheter och skillnader i regleringen av säkerhetsåtgärder inom hälso- och sjukvården och socialtjänsten. Som en följd av ökad användning av digital teknik inom äldreomsorgen infördes den 1 mars 2024 tydligare regler om säkerhetskrav för användning av sådan teknik i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (se prop. 2022/23:131 s. 38–48, bet. 2023/24:SoU3, rskr. 2023/24:46). Därutöver infördes bestämmelser om att de personuppgiftsansvariga inom socialtjänsten ska vidta säkerhetsåtgärder i form av behörighetstilldelning och åtkomstkontroll. Enligt vad som anges i skrivelsen riktar sig dessa bestämmelser till all socialtjänst och är inte begränsade till vissa klientgrupper eller vissa typer av insatser. Regeringen anser därför att kraven på omsorgsgivare i huvudsak motsvarar de som gäller för vårdgivare. Mot bakgrund av bl.a. detta anser regeringen att rekommendationen i nuläget inte motiverar några ytterligare åtgärder.

När det slutligen gäller rekommendationen om att säkerställa att omsorgsgivare och mindre vårdgivare som inte omfattas av NIS-lagen omfattas av krav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete anför regeringen att förslagen om införlivandet av NIS2 direktivet[1] i nationell rätt i delbetänkandet Nya regler om cybersäkerhet – där utredningen har föreslagit att kommuner och regioner ska omfattas av den nya cybersäkerhetslagen – bereds inom Regeringskansliet. Bland annat därför anser regeringen att rekommendationen i nuläget inte motiverar några ytterligare åtgärder.

Utskottets ställningstagande

Det är viktigt att statens arbete med informationssäkerhet i vård och omsorg är effektivt. Utskottet välkomnar därför Riksrevisionens rapport och noterar att det finns ett pågående arbete på området. Utskottet delar regeringens bedömningar att det inte behövs några ytterligare åtgärder.

Utskottet föreslår att riksdagen lägger skrivelsen till handlingarna.

Bilaga

Förteckning över behandlade förslag

Skrivelsen

Regeringens skrivelse 2024/25:23 Riksrevisionens rapport om statens arbete med informationssäkerhet i vård och omsorg.

 

 

 

 

[1] Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet).