Det är i en ny rapport som Riksrevisionen riktar skarp kritik mot att Socialstyrelsen, Integritetsskyddsmyndigheten, Inspektionen för vård och omsorg och Myndigheten för samhällsskydd och beredskap inte stöttar regioner och kommuner tillräckligt i deras informationssäkerhetsarbete.
– Vi tycker att det är ganska allvarligt med tanke på att regioner, kommuner och enskilda vård- och omsorgsgivare hanterar stora mängder känsliga personuppgifter digitalt. Det är viktigt att de här uppgifterna skyddas, säger Nedim Colo, som varit projektledare för granskningen.
Flera vårdgivare har redan varit föremål för cyberattacker. Nedim Colo konstaterar att det kan få allvarliga konsekvenser om information går förlorad, inte är tillgänglig eller inte skyddas från obehöriga.
– Det kan leda till situationer där vårdgivare inte kan komma åt uppgifterna när de ska ge vård, till exempel vid en operation. Det kan också skada personers integritet när uppgifterna läcker ut. Det är regioner och kommuner som ansvarar för att skydda uppgifterna, men staten har en viktig uppgift i att hjälpa dem.
Enligt granskningen anser sig ingen av myndigheterna ha ett ansvar för att ge specifikt stöd till vård- och omsorgsgivares informationssäkerhetsarbete. Myndigheterna arbetar dessutom i stuprör och samverkar sällan för att anpassa stödet så att det motsvarar behoven.
Dataskyddsförordningen ställer krav på lämpliga säkerhetsåtgärder, men granskningen pekar på en rättslig osäkerhet hos regioner och kommuner om hur regelverket ska tolkas och tillämpas i de egna verksamheterna.
– Vi har sett att de inte får stöd i att tolka lagstiftningen i komplicerade frågor. Det kan till exempel handla om lagring av personuppgifter utomlands och i molntjänster, säger Nedim Colo.
I sin rapport kommer Riksrevisionen med flera rekommendationer.
– Den viktigaste är att regeringen förtydligar Socialstyrelsens roll att ta fram ett verksamhetsanpassat stöd för vård- och omsorgsgivares informationssäkerhetsarbete. Det här tycker vi att Socialstyrelsen ska göra i samverkan med Imy och andra berörda myndigheter.
En annan viktig rekommendation riktas till Ivo.
– Vi har kunnat se att Ivo inte granskar den faktiska säkerheten i nätverk och informationssystem i vården, där personuppgifter behandlas. Därför rekommenderar vi Ivo att de ska granska om vårdgivare faktiskt uppfyller lagstiftningens krav. I dag är det ingen som kontrollerar det, säger Nedim Colo.
Läs också:
Nu synas statens roll i skyddet av känsliga data