Riksrevisionens granskning visar att statens arbete för att se till att vård- och omsorgsgivare skyddar känsliga personuppgifter inte räcker till.
Ingen av de granskade myndigheterna anser sig ha ansvar för att ge stöd till vård- och omsorgsgivarna om just informationssäkerhet, och insatserna som görs följs inte upp.
– Regeringen och myndigheterna rekommenderas vidta åtgärder inom flera områden, säger riksrevisor Helena Lindberg.
Det hanteras en stor mängd känsliga personuppgifter inom vård- och omsorg, till exempel i digitala journaler.
Vård- och omsorgsgivare har ett ansvar för att personuppgifterna hanteras och skyddas rätt, och staten har ansvar att stödja vård- och omsorgsgivarnas informationssäkerhetsarbete.
Nu visar Riksrevisionens granskning att statens arbete inte är tillräckligt. Regioner och kommuner får inte tillräckligt med stöd i hur de kan förbättra sitt informationssäkerhetsarbete, vilket kan leda till att skyddet för personuppgifter varierar i olika delar av landet.
Ingen anser sig ha ansvar för stödet
Varken Integritetsskyddsmyndigheten, Myndigheten för samhällsskydd och beredskap (MSB), Inspektionen för vård och omsorg (IVO) eller Socialstyrelsen bidrar till att stärka informationssäkerheten inom vården och omsorgen på ett effektivt sätt, enligt Riksrevisionens granskning.
Det beror bland annat på att ingen av myndigheterna anser sig ha ett tydligt ansvar för att ge specifikt stöd till vård- och omsorgsgivares informationssäkerhetsarbete.
Det följs inte heller upp vilka behov av stöd som finns, eller om det stöd som ges är tillräckligt. Myndigheterna kan därför inte bedöma om insatserna som gjorts har bidragit till att stärka informationssäkerhetsarbetet.
– Stödet är inte tillräckligt anpassat efter behoven, till exempel när det gäller lämpliga säkerhetsåtgärder. Vård- och omsorgsgivare får inte den rättsliga vägledning som de behöver för att uppnå ett tillräckligt skydd för personuppgifter, säger Nedim Colo, projektledare för granskningen, i ett pressmeddelande.
Tillsynen är inte effektiv
Granskningen visar samtidigt att myndigheternas tillsyn inte stärker skyddet av personuppgifter på ett effektivt sätt då tillsynen bara omfattat få vårdgivare, och inga omsorgsgivare.
Riksrevisionen bedömer att regeringens insatser för att stärka informationssäkerhetsarbetet inom vård och omsorg varit otillräckliga. Till exempel har regeringen inte förtydligat vilken myndighet som har ansvar för att ge vård- och omsorgsgivare specifikt stöd som berör informationssäkerhet.
Regeringen har heller inte sett till att omsorgsgivare omfattas av samma krav på säkerhetsåtgärder och systematiskt informationssäkerhetsarbete som vårdgivare, trots att de hanterar liknande känsliga personuppgifter.
– Statens insatser för informationssäkerhet inom vård och omsorg behöver bli mer effektiva. Regeringen och myndigheterna rekommenderas vidta åtgärder inom flera områden, säger riksrevisor Helena Lindberg i pressmeddelandet.
Riksrevisionen rekommenderar nu regeringen att förtydliga Socialstyrelsens ansvar att ta fram verksamhetsanpassat stöd till vårdens och omsorgens informationssäkerhetsarbete.
Regeringen rekommenderas även att säkerställa att omsorgsgivare omfattas av krav på att ha ett systematiskt och riskbaserat informationssäkerhetsarbete.
