Socialstyrelsens föreskrifter om säkerhetsåtgärder för samhällsviktiga tjänster inom hälso- och sjukvårdssektorn
Integritetsskyddsmyndigheten (IMY) har givits möjlighet att lämna synpunkter på rubricerat förslag och har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter. IMY har också granskat förslaget utifrån erfarenheter från tillsynsverksamhet på it- och informationssäkerhetsområdet.
IMY tillstyrker i det mest väsentliga förslaget då ett strukturerat och riskbaserat informationssäkerhetsarbete även är en förutsättning för ett gott integritetsskydd.
IMY lämnar följande synpunkter.
Tydliga krav som är ändamålsenligt formulerade på ett klart språk bidrar till enklare och bättre regelefterlevnad utifrån regelverkets syfte. För att undvika problem med regelhierarkier fyller de upplysningsparagrafer som föreslås en bra funktion.
Föreskrifterna skulle tjäna på att kombineras med allmänna råd som exemplifierar hur föreskrifterna kan efterlevas, till exempel vid formuleringar som rör ”etablerade standarder”.
Riskanalys och åtgärdsplan
Det finns en bra och tydlig koppling mellan kraven på förteckning, riskanalys och åtgärdsplan, men förhållandet mellan riskanalysen och åtgärdsplanen förtjänar att tydliggöras så till vida att det klargörs vad som lämpligen hör hemma i riskanalysdelen respektive den resulterande åtgärdsplanen, se till exempel MSB:s mall (1). De bedömningar, motiveringar och sammanvägningar (riskbedömningar kan vara ett bättre ord) som ska göras, och dokumenteras, bör inte ligga i åtgärdsplanen utan i riskanalysen. Flera punkter kan därför flyttas från den föreslagna 9 § till 8 §.
Det är bra med krav på ett övervägt val av riskanalysmetod och att valet ska dokumenteras, men det borde kunna fastslås i och utgöra inledningen av riskanalysen istället för att beslutas i en särskild ordning. Kravet på dokumentation och bevarande i 7 § kan alltså införlivas i kraven i den föreslagna 8 §.
Behörighets- och åtkomsthantering
Flera perspektiv behöver beaktas vid bedömning av vilka säkerhetsåtgärder som är lämpliga. Bedömningen behöver ske utifrån såväl behovet av samhällsskydd i stort, leverantörernas/vårdgivarnas drifts- och verksamhetsskydd som utifrån ett dataskyddsperspektiv. Däremot kan behovet av vilken nivå av säkerhet som behövs variera beroende på utifrån vilket perspektiv som en riskanalys genomförs. En lämplig åtgärd kan ur kontinuitets- och incidenthanteringsperspektiv vara mindre viktig i termer av vilken säkerhetsnivå som behöver uppnås (kanske på grund av att alternativa eller reaktiva åtgärder enkelt kan vidtas vid en incident) samtidigt som det utifrån ett dataskyddsperspektiv kan vara angeläget att åtgärden ger en hög nivå av skydd, eller vice versa.
Behörighetsstyrning är huvudsakligen en åtgärd för att skydda information från obehörig åtkomst och obefogad spridning. Det finns därför en risk att olika tillsynsmyndigheter gör olika bedömningar eftersom regelverken har olika perspektiv, trots i stort sett likalydande formuleringar i föreskrifterna. Det kan verka förvirrande för de vårdgivare som omfattas av reglerna. Det kan också ifrågasättas om föreskriftens första stycke verkligen bidrar till ökad robusthet i de nätverk och informationssystem som träffas av regeln. Det andra stycket om behörigheter för systemadministration gör däremot det och bör finnas.
Spårbarhet
När tekniska säkerhetsåtgärder vidtas innebär det ofta att personuppgifter behandlas, till exempel i loggar som registrerar systemaktiviteter till följd av fysiska personers handlingar. Sådan personuppgiftsbehandling ska ske i enlighet med de grundläggande principerna i dataskyddsförordningen (art. 5) och kraven på proportionalitet (art. 24). Utifrån dataskyddsförordningen behöver det därför ske en bedömning i de enskilda fallen hur länge det är lämpligt att spara loggar, så att det inte blir en alltför omfattande personuppgiftsbehandling. Ett alternativ till att Socialstyrelsen, utan att ha gjort de lämplighets- och proportionalitetsbedömningar som krävs enligt dataskyddsreglerna, föreskriver en fastslagen bevarandetid för loggar är att istället föreskriva att leverantören ska besluta om en lämplig bevarandetid.
Formkravet i 18 § på att uppgifter ska lagras i filer innebär en onödig begränsning och bör därför strykas.
Punkten 2 i samma paragraf hänvisar till behovet av att intrång ska kunna utredas. Detsamma gäller för alla incidenter, varför IMY förordar en sådan lydelse istället.
Punkten 3 förefaller skydda information snarare än att bidra till kontinuitet och förmåga att hantera incidenter, på samma sätt som synpunkterna under rubriken behörighetsstyrning ovan. Det är heller inte klart vad ”konfidentiella uppgifter” skulle vara. Punkten är otydlig kan därför strykas.
I 19 § sista stycket bör leverantören åläggas att i förekommande fall skydda loggarna från otillåten förstöring, förlust eller ändring och från obehörig åtkomst.
Kravet på systematiska och återkommande stickprovskontroller är inte ändamålsenligt och bör därför strykas. De åtgärder som föreskrivs i 11 §, om logiska skydd, omhändertar istället de risker som stickprovskontroller rimligen avser att adressera.
Fotnot
(1) https://www.msb.se/sv/publikationer/atgardsplan-for-kontinuitetshantering/
Detta yttrande har beslutats av avdelningschefen Malin Blixt efter föredragning av it- och informationsäkerhetsspecialisten Magnus Bergström. Vid den slutliga handläggningen har även it- och informationssäkerhetsspecialisten Johnny Gordon Tornesjö medverkat.
Malin Blixt, 2024-01-25 (Det här är en elektronisk signatur)