Bakgrunden till arbetet är att Riksrevisionen har noterat en ökning av antalet rapporterade incidenter, speciellt så kallade antagonistiska angrepp, och att hanteringen av patientinformation ser ut att ha brister på flera håll.
– Regionerna och kommunerna har i uppdrag att skydda patientinformationen. Vi kommer därför att undersöka vilken hjälp de får från staten och vilken hjälp de anser sig behöva från staten, säger Nedim Colo, projektledare för granskningen.
Det är bland annat undersökningar från Sveriges Kommuner och regioner (SKR) och Myndigheten för samhällsskydd och beredskap (MSB) som visar på brister i arbetet med att säkra informationen.
– MSB konstaterar till exempel i en rapport från 2021 att regioner och kommuner visserligen implementerar säkerhetsåtgärder, men att det saknas tillräckliga riskanalyser och kontinuitet, alltså en beredskap för att hantera en störning i verksamheten. Vi har alltså sett att det kan finnas utrymme att förbättra det statliga stödet och den statliga tillsynen, inte minst också på grund av att MSB uttryckt detta i sin rapport, fortsätter Nedim Colo.
Rapportarbetet sker mot bakgrund av att hälso- och sjukvården samt den sociala omsorgen hanterar stora mängder känsliga personuppgifter i digital form och att denna information inte får bli fel, gå förlorad eller hamna i orätta händer.
Ändå inträffar varje år ett betydande antal informationsincidenter inom hälso- och sjukvården. Det handlar till exempel om hackerattacker, felskickade mejl med personuppgifter och tidigare anställda som tagit med sig patientregister. Förra året inrapporterades drygt 1 000 incidenter inom vården, enligt Integritetsskyddsmyndighetens (Imy) årsrapport, och den vanligaste formen av incident var att information skickats till fel mottagare.
Riksrevisionen analyserar nu vad Imy, Inspektionen för vård och omsorg (Ivo), Socialstyrelsen och MSB gör på området. Då Riksrevisionen endast har mandat att granska staten kommer utredarna inte att granska regionerna och kommunerna. Däremot kommer Nedim Colo och hans kolleger att hämta information från dem.
– Det är viktigt för oss att prata med dem och få deras bild av statens insatser.
Det är främst Socialstyrelsen, MSB och Imy som har till uppgift att ge regionerna och kommunerna stöd inom området.
– Vi granskar om arbetet är effektivt. Fokus ligger på vilken hjälp de ger och hur det fungerar. Vi berör även frågeställningen om vilka behov kommun- och region-sektorn ser, som i dag inte tillgodoses av staten, säger Nedim Colo.
När det gäller statens tillsynsdel är det Ivo och Imy som har ansvaret – och även de ska granskas.
Flera regionala rapporter har på senare tid understrukit behovet av förbättringar av hur hälso- och patientdata tas om hand och skyddas.
Revisionsbyrån EY kom i slutet av 2022 fram till att Region Västerbotten har en »förhållandevis låg mognadsgrad« inom informationssäkerhet, med tanke på mängden data och deras känsliga karaktär. Region Norrbottens och Region Stockholms regionrevisorer rapporterade under första halvåret 2023 att kraven som ställs på de anlitade externa vårdgivarna när det gäller IT-säkerhet inte är tillräckliga. Dessa krav följs inte heller upp.
Det är troligt att resultaten av de lokala granskningarna beaktas i Riksrevisionens arbete.
– Vi kommer att prata med ett urval av regioner och kommuner för att se vilka utmaningar som finns, och vi är då intresserade av att ta del av kommunernas och regionernas rapporter, men det är inte bristerna hos sjukvårdshuvudmännen som står i fokus, utan de statliga myndigheternas arbete.
Regionrevisorer i flera regioner beskriver stora risker med att avtalen med de privata vårdgivarna inte följs upp. Kommer detta att tas upp i er granskning?
– Regionernas upphandling av externa utförare kommer inte att vara så mycket i fokus här. Däremot kan statens stöd till upphandling av vård- och omsorgsgivare bli en viktig del av granskningen.
Riksrevisionens arbete har pågått sedan april, och en publicering planeras till våren 2024.