Hoppa till innehåll på sidan

Informationssäkerhet – för vårdgivare

Här ges en översikt över några viktiga delar av ett effektivt säkerhetsarbete för vårdgivare i syfte att skydda personuppgifter.

 

I texterna presenteras viss relevant reglering gällande ett urval av frågor som rör vårdgivares säkerhetsarbete. Det ges även exempel på säkerhetsåtgärder som inte är författningsstyrda, men IMY anser att vårdgivare ändå kan behöva överväga dessa.

Övergripande styrning

Informationssäkerhet handlar inte bara om teknik. Det handlar även om styrning, kultur, ansvar och riskmedvetenhet i hela organisationen.

Ledningssystem

Vårdgivaren ansvarar för att det finns ett ledningssystem för verksamheten. Det är ett system för att fastställa principer för ledning av verksamheten.

2 kap. 1 § och 3 kap. 1 § Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete - Socialstyrelsen

 

Genom ledningssystemet ska vårdgivaren se till att kraven på tillgänglighet, riktighet, konfidentialitet och spårbarhet uppfylls. Det betyder att vårdgivaren ska ha ett ledningssystem som ser till att:

  • personuppgifterna är åtkomliga och användbara för den som är behörig
  • personuppgifterna är oförvanskade
  • obehöriga inte ska kunna ta del av personuppgifterna
  • åtgärder kan spåras till en användare i informationssystem som är helt eller delvis automatiserade.

3 kap. 2 §  Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården , hos Socialstyrelsen

 

Policy för informationssäkerhet

Vårdgivaren ansvarar även för att det finns en policy för informationssäkerhet. Policyn ska innehålla vårdgivarens övergripande mål för och inriktning på verksamhetens arbete med informationssäkerhet. Syftet är att säkerställa personuppgifters tillgänglighet, riktighet, konfidentialitet och spårbarhet.

3 kap. 4 §  Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, hos Socialstyrelsen

 

Styrning

Exempel

Andra säkerhetsåtgärder som enligt IMY kan vara relevanta när det gäller styrning

  • Se till att roller och ansvar är tydligt fördelade genom hela verksamheten.
  • Integrera informationssäkerhet i det dagliga arbetet.
  • Tilldela resurser för både tekniska och organisatoriska skyddsåtgärder.

 

Autentisering

I en vårdmiljö är tillgång till information ibland en fråga om sekunder. Samtidigt är det avgörande att ingen obehörig kommer åt patientuppgifter. Därför måste autentiseringen vara både säker och effektiv och i vissa fall ske med flerfaktorsautentisering. Med flerfaktorsautentisering menas att en uppgiven identitet kontrolleras på flera av varandra oberoende sätt.

Vårdgivaren ansvarar för att obehöriga inte kan ta del av uppgifterna när personuppgifter förs över elektroniskt. Vårdgivaren ansvarar också för att flerfaktorsautentisering används för att ge tillgång till uppgifterna genom elektronisk åtkomst, direktåtkomst eller annat elektroniskt utlämnande.

Flerfaktorsautentisering ska även användas för att ge enskilda personer tillgång till uppgifter om sig själva och till dokumentation om åtkomst (så kallade loggar). Det gäller både vid direktåtkomst och när uppgifter lämnas ut elektroniskt på annat sätt. På så sätt säkerställs att det är rätt person som får informationen.

2 kap. 1 §, 3 kap. 15 § och 4 kap. 11 §  Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, hos Socialstyrelsen

 

Autentisering

Exempel

Exempel på andra säkerhetsåtgärder som enligt IMY kan vara relevanta när det gäller autentisering

  • Använda VPN med certifikat eller en annan säker metod för system där fjärråtkomst tillåts.
  • Använda inloggningssessioner med automatisk utloggning om användaren inte är aktiv i systemet.

 

Behörighetsstyrning

Vårdgivaren ska bestämma villkoren för tilldelning av behörigheter för att komma åt uppgifter om patienter i system som är helt eller delvis automatiserade. Behörigheten ska begränsas till vad som behövs för att en person ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.

4 kap. 2 § patientdatalagen (2008:355), hos Sveriges riksdag

4 kap. 3 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, hos Sveriges riksdag

 

Innan villkoren för tilldelning av behörighet bestäms ska vårdgivaren klarlägga vilka behov av uppgifter om patienter som finns för att kunna utföra arbetsuppgifter i hälso- och sjukvården. Den ska också klarlägga vilka behov av uppgifter om patienter som finns för olika verksamheter och yrkeskategorier. Vidare ska de risker som möjligheten till åtkomst kan medföra för skyddet av patienters personliga integritet identifieras. Risker vid åtkomst till skyddade personuppgifter ska särskilt beaktas. Behovs- och riskanalysen ska utgöra grunden för att fastställa villkoren för tilldelning av behörighet, det vill säga villkoren för vem som ska ha tillgång till uppgifterna.

Vårdgivaren ansvarar för att följa upp behörighet som har tilldelats. Vårdgivaren ska också ändra behörigheten så att den stämmer överens med de fastställda villkoren för behörighetstilldelning när det behövs.

4 kap. 2–2 b §§  Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, hos Socialstyrelsen

 

Behörighetsstyrning

Exempel

Exempel på andra säkerhetsåtgärder som enligt IMY kan vara relevanta när det gäller behörighetsstyrning

  • Basera tilldelningen av behörigheter på en tjänsts arbetsroll och funktion.
  • Dela ut behörigheter utifrån vilken grupp i organisationen som personen tillhör.
  • Införa automatiska rutiner för att ändra behörigheter när arbetsuppgifter förändras och för att ta bort tillgång när en anställning avslutas.

 

Kontroll av åtkomst till uppgifter

En vårdgivare ska dokumentera och kunna kontrollera åtkomsten till uppgifter om patienter som förs helt eller delvis automatiserat. Vårdgivare ska på ett systematiskt och återkommande sätt kontrollera om någon har åtkomst till uppgifter om patienter utan att vara behörig.

4 kap. 3 § patientdatalagen (2008:355), hos Sveriges riksdag

 

IMY har tagit fram en checklista som sammanfattar vad en vårdgivare bör tänka på när den ska kontollera åtkomst till uppgifter.

Kontroll av åtkomst till uppgifter  –  för vårdgivare

 

Kryptering

Kryptering nämns i GDPR som exempel på något som under vissa förutsättningar kan utgöra en lämplig skyddsåtgärd för personuppgifter.

Artikel 6.4 e i GDPR 

Artikel 32.1 a i GDPR

Artikel 34.3 a GDPR

 

Kryptering

Exempel

Exempel på säkerhetsåtgärder som enligt IMY kan vara relevanta när det gäller kryptering

Det kan som utgångspunkt vara lämpligt att kryptera personuppgifter som behandlas inom hälso- och sjukvården. Det gäller bland annat när patientinformation skickas mellan olika system, regioner och vårdnivåer. Data under överföring och data i vila är två områden som vårdgivare kan behöva uppmärksamma särskilt.

Data under överföring
  • All kommunikation som innehåller personuppgifter om hälsa sker som utgångspunkt lämpligen via krypterade protokoll.
  • E-post mellan vårdgivare kan ofta behöva vara krypterad.
  • När mobilappar och webbtjänster används vid dataöverföring i hälso- och sjukvården kan end-to-end-kryptering behöva användas.
Data i vila
  • Databaser och säkerhetskopior kan behöva vara krypterade med starka algoritmer.
  • Krypteringsnycklar behöver som utgångspunkt lagras och hanteras separat från datan.

 

Nätverkssegmentering och brandväggar

Hälso- och sjukvårdens IT-miljöer är komplexa. En vårdgivare kan ha flera enheter. Om en angripare kommer in i ett system bör inte hela nätverket gå att nå. Därför kan det vara relevant att segmentera systemet.

 

Nätverkssegmentering och brandväggar

Exempel

Exempel på säkerhetsåtgärder som enligt IMY kan vara relevanta när det gäller nätverkssegmentering och brandväggar

  • Dela upp nätverket i zoner beroende på känslighet. Det går att lägga till fler zoner utifrån verksamhetens behov.
  • Placera brandväggar mellan varje zon med tydligt definierade trafikregler.
  • Bara tillåta nödvändig kommunikation mellan zoner.
  • Använda intrusion detection systems (IDS) och intrusion prevention systems (IPS) för att upptäcka avvikande trafik.
  • Begränsa åtkomsten till internet för system som hanterar patientuppgifter.
  • Stänga av åtkomsten till internet för system som inte behöver åtkomsten för sin funktion.

 

Hantera sårbarheter och patchning

Flera av de kända stora dataintrången har utnyttjat sårbarheter som det redan finns säkerhetsuppdateringar för. När man patchar så uppdaterar man mjukvaran med de senaste säkerhetsfunktionerna. Inom hälso- och sjukvården kan konsekvenserna av en server som inte är uppdaterad vara allvarliga: patientdata kan läcka, vårdsystem slås ut och verksamheten stanna upp.

 

Hantera sårbarheter

Exempel

Exempel på säkerhetsåtgärder som enligt IMY kan vara relevanta när det gäller att hantera sårbarheter

  • Kartlägga samtliga system och applikationer i ett tillgångsregister.
  • Klassa systemen utifrån hur kritiska de är för vårdarbetet.
  • Ha tydliga processer för hur uppdateringar ska testas, godkännas och införas.
  • Installera patchar regelbundet, på ett sätt som inte stör patientnära verksamhet.

 

Fysisk säkerhet

Digital säkerhet börjar i den fysiska världen. Vårdgivaren ska se till att fysiskt skydda de informationssystem som används för att behandla personuppgifter mot skada, störning och obehörig åtkomst. Enligt ett allmänt råd från Socialstyrelsen bör informationssystemen förvaras i säkra utrymmen inom avgränsade skalskydd som har lämpliga säkerhetsavspärrningar och tillträdeskontroller.

3 kap. 14 § Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, hos Socialstyrelsen

 

Fysisk säkerhet

Exempel

Exempel på andra åtgärder som enligt IMY kan vara relevanta när det gäller fysisk säkerhet

  • Passersystem och loggning av in- och utpassering i serverrum och kommunikationsutrymmen.
  • Registrera besökare och ha en rutin om att behörig personal ska följa med besökare.
  • Automatisk låsning och kryptering av datorer och skärmar i patientnära miljöer.
  • Hantera papper med patientuppgifter i låsta utrymmen och ha en rutin för hur papper förstörs på ett säkert sätt.

 

Leverantörer och molntjänster

En stor del av informationshanteringen ligger ofta utanför den egna organisationens direkta kontroll, till exempel hos externa leverantörer av system och tjänster. Därför är leverantörsstyrning en kritisk del i arbetet med informationssäkerhet.

När en extern part behandlar personuppgifter för vårdgivarens räkning är de ett personuppgiftsbiträde enligt GDPR. Vårdgivaren måste då bland annat se till att:

  • det finns ett personuppgiftsbiträdesavtal enligt artikel 28 GDPR
  • biträdet uppfyller krav på säkerhet, konfidentialitet och incidentrapportering
  • eventuella underbiträden granskas och godkänns.

Personuppgiftsansvarig och personuppgiftsbiträde – för vårdgivare

Personuppgifts­ansvariga och personuppgifts­biträden

Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (engelska), hos EDPB

Artikel 28 i GDPR

 

Riskbedömning och uppföljning

Exempel

Exempel på andra säkerhetsåtgärder som enligt IMY kan vara relevanta när det gäller riskbedömning och uppföljning

Riskbedöm varje leverantör innan ni skriver avtal. Riskbedömningen inkluderar lämpligen bland annat att:

  • gå igenom leverantörens säkerhetsrutiner och certifieringar, exempelvis ISO 27001.
  • bedöma tekniska skydd: kryptering, loggning, åtkomstkontroller.
  • granska rutiner för kontinuitet, incidenthantering och avslut av tjänsten.

 

Efter att ett nytt system eller en ny molntjänst har införts behöver leverantören som utgångspunkt följas upp regelbundet.

Ni behöver även se till att ni har tekniska och organisatoriska åtgärder på plats för att skydda den data ni har i en molnmiljö. Det kan bland annat vara:

  • att kryptera både under lagring och överföring
  • att hantera kryptonycklar under vårdgivarens kontroll
  • möjlighet till insyn i loggar och åtkomsthistorik
  • tydlig exit-strategi vid byte av leverantör.

Riskhantering och kontinuerlig förbättring

Informationssäkerhet är inte ett projekt, utan en pågående process. För vårdgivare innebär det att riskhantering måste vara en del av den ordinarie styrningen, precis som med ekonomi, arbetsmiljö och patientsäkerhet.

Om en typ av behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vårdgivaren före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter, en så kallad konsekvensbedömning. Det kan exempelvis bli aktuellt när nya e-hälsotjänster eller AI-stöd ska införas, eller när system mellan vårdgivare ska integreras.

Artikel 35.1 i GDPR

Vägledning vid konsekvensbedömning enligt GDPR

 

Om en konsekvensbedömning visar att behandlingen skulle leda till en hög risk om inte vårdgivaren vidtar åtgärder för att minska risken, ska vårdgivaren ska samråda med IMY före behandlingen av personuppgifter.

Artikel 36.1 i GDPR

 

Därutöver ska vårdgivaren fortlöpande bedöma om det finns risker för händelser som kan medföra att kraven i Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården inte uppfylls. För varje sådan händelse ska vårdgivaren

  1. uppskatta sannolikheten för att händelsen inträffar
  2. bedöma vilka negativa konsekvenser som skulle kunna bli följden av händelsen.

Riskanalyserna ska dokumenteras.

3 kap. 5 §  Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, hos Socialstyrelsen

 

Riskhantering

Exempel

Exempel på andra åtgärder som enligt IMY kan vara relevanta när det gäller riskhantering

  • Identifiera tillgångar såsom system, information, processer.
  • Bestämma tekniska, organisatoriska eller utbildningsmässiga åtgärder.
  • Följa upp och revidera regelbundet.

Mer information

Relaterade länkar

Rättsinformation

Fördjupa dig
Senast uppdaterad: 2 februari 2026
Sidans etiketter Dataskydd

Innehåll på sidan

Topp