Säkerheten otillräcklig i kommuners personuppgiftshantering

Informationssäkerhetsarbete innefattar inte bara att försöka stävja potentiella risker för organisationen och dess ekonomiska eller ideella tillgångar, utan handlar även om att säkerställa laglig och säker personuppgiftsbehandling, ur den registrerades perspektiv.

Under morgonen rapporterade Socialstyrelsen att känsliga personuppgifter riskerar att läcka från socialtjänsternas IT-system, som en konsekvens av att många kommuner inte skyddar personuppgifterna på ett säkert sätt.

Socialtjänsten hanterar lika känsliga personuppgifter som inom hälso- och sjukvården, t ex information om missbruk, ekonomiska förhållanden och funktionshinder. Trots detta är det endast 13% av kommunerna som uppger att de använder sig av stark autentisering för alla system som behandlar personuppgifter. Motsvarande siffra inom kommunal hälso- och sjukvård är 93%.

29% av kommunerna erbjuder idag möjlighet att söka ekonomiskt bistånd digitalt, vilket kan jämföras med 2017 då den andelen endast var 9%. I takt med att digitaliseringen ökar inom välfärden, om så än i relativt långsam takt, så måste även säkerheten och skyddet för personuppgifter öka.

Bland annat bedömer Socialstyrelsen följande:

”Liksom föregående år konstaterar Socialstyrelsen att endast en liten andel av kommunerna säkrat sina olika verksamhetssystem inom socialtjänsten där personuppgifter behandlas. Sedan 2015 har det inte skett någon synbar utveckling av andelen kommuner som kräver säker roll- och behörighetsidentifikation för tillgång till verksamhetssystemen. Socialstyrelsen konstaterar att kommunerna inte försäkrar sig om att enskildas, ofta känsliga, personuppgifter skyddas på ett säkert sätt.”

Det är tveklöst så att kommuner måste bli bättre på att ställa höga krav på informationssäkerheten i sina avtalsrelationer och i upphandlingar, samt inom sina förvaltningar. För att veta vilka krav som ska ställas behöver informationssäkerheten på ett systematiskt sätt bevakas och upprätthållas, och löpande uppföljningar måste genomföras för att kunna bedöma risker och behov som ligger till grund för kraven. Ett bra och grundläggande första steg i det arbetet är att klassificera sin information. Har det inte gjorts, är det svårt att på ett systematiskt och effektivt sätt bedöma vilka uppgifter som ska skyddas, på vilket sätt de ska skyddas, och mot bakgrund av vilka regler.

Har man ingen egen klassificeringsmodell kan man exempelvis använda SKL:s verktyg KLASSA, eller MSB:s ”Modell för klassificering av information”.

Trots att såväl SKL som MSB tillhandahåller verktyg till offentlig sektor för att klassificera sin information uppger ca 30% av kommunerna att de inte genomfört någon informationsklassning alls.

Du kan läsa rapporten i sin helhet här. 

Posted in Addlevel, Blog, GDPR, Informationssäkerhet, Nyheter, Security.