Få hela storyn
Starta din prenumeration

Prenumerera

Digitalisering

Allt fler attacker för att komma åt personuppgifter i vården

Publicerad: 5 april 2022, 15:15

Under 2021 skedde en ökning av incidenter där obehöriga fått tillgång till personuppgifter som bör skyddas. Att angreppen sker utifrån blir också vanligare.

Foto: Emil Langvad/Susanne Lindholm

Antalet angrepp av obehöriga som försöker komma åt personuppgifter ökade i kommuner och regioner i fjol. Nu måste riskerna tas på allvar enligt Integritetsskyddsmyndigheten (IMY), som under 2021 också bötfällt en region och inlett tillsyn mot SKR för misstänkta brister i dataskyddet.


Ämnen i artikeln:

It-säkerhetIntegritetSenaste nytt

3 790 personuppgiftsincidenter rapporterades inom offentlig sektor 2021, enligt en ny sammanställning från IMY.

Den vanligaste händelsen är att ett brev eller mejl skickas fel, så att personuppgifter hamnar hos fel person. Anledningen är oftast den ”mänskliga faktorn”, men lite drygt var fjärde incident handlar om att någon på ett olovligt sätt skaffat sig tillgång till personuppgifter. Det här blir också allt vanligare. 

Totalt sett (då är även privat och övrig sektor inräknat) ökade denna typ av fall med ungefär 300 i antal under 2021 jämfört med 2020. Och det är framför allt inom kommuner och hälso- och sjukvården som ökningen sker, medan antalet fall minskar i finansbranschen och övriga näringslivet samt inom ideell sektor.

Att personuppgifterna hamnar hos fel person genom ”antagonistiska angrepp” – till exempel hackning eller annan typ av dataintrång – blir allt vanligare inom hälso- och sjukvården på ett sätt som inte ses inom andra sektorer i samhället. Andelen incidenter i hälso- och sjukvården som beror på antagonistiska angrepp har ökat från 3 procent 2020 till 14 procent 2021.

Det är viktigt att ta riskerna på allvar, skriver IMY i sin rapport och konstaterar att på grund av den avvikande utvecklingen för kommuner och hälso- och sjukvård under 2021 så kan det här finnas ”särskilda behov av att se över tekniska och organisatoriska åtgärder för att förhindra obehörig åtkomst”.  

Du missar innehåll i denna artikel på grund av dina cookie-val. Kontrollera dina inställningar och dubbelkolla om Infogram är blockerad under “Visa våra partners”.

IMY har sammanställt en rad tips för hur man kan jobba med att minska risken för att personuppgifter ska hamna på villovägar. Men IMY kan också starta tillsynsärenden om incidenten ses som särskilt allvarlig eller visar på brister. 

Ett känt fall som avslutades under fjolåret gällde hur inspelade samtal till sjukvårdsrådgivningen 1177 legat på en öppen server. Ärendet slutade i dryga böter för de två företagen Medhelp och Voice Integrate, liksom för flera regioner. Beslutet har överklagats av både företagen och regionerna.

Men också Region Uppsala och Sveriges Kommuner och Regioner (SKR) har hamnat under IMY:s lupp under 2021, för brister i dataskyddet.

Region Uppsala utreddes för att ha skickat patientuppgifter med mejl utan kryptering. I januari beslutades att regionstyrelsen ska betala 600 000 kronor i böter och sjukhusstyrelsen på Akademiska sjukhuset 1,6 miljoner kronor. 

I november inleddes en tillsyn mot SKR och den databas som organisationen använder för att ta fram väntetidsstatistik i vården. Det ärendet pågår fortfarande.

Sex tips för högre säkerhet

I rapporten ”Personuppgiftsincidenter 2021” listar IMY ett antal åtgärder som kan förebygga att incidenter sker, och mildra konsekvenserna om de har inträffat.

Arbeta med dataskydd. Skyddet mot obehörig åtkomst och antagonistiska angrepp måste hela tiden utvecklas, särskilt inom hälso- och sjukvård samt kommuner.
Lösenordshygien. Inför rutiner för skapande och hantering av lösenord. Överväg multifaktorautentisering.
Ha en god behörighetsstyrning. Se till att rätt personer har tillgång till rätt uppgifter.
Rutiner när någon slutar. Se till att ha rutiner för hur inloggningar och arbetsmaterial ska hanteras när en anställd slutar sin tjänst. Avaktivera inloggningar och konton när personen har lämnat.
Utbilda. Se till att medarbetarna har kunskap och medvetenhet om till exempel rutiner för personuppgifter i mejl, hur personuppgifter lagras och hur man identifierar osäker e-post.
Ta stöd av riktlinjerna från Europeiska dataskyddsstyrelsen (EDPB). De ger vägledning till personuppgiftsansvariga om säkerhetsåtgärder och hur incidenter bör hanteras.

Källa: Integritetsskyddsmyndigheten

 

 

Åsa Nilsson

Reporter

an@dagenssamhalle.se

Dela artikeln:

Nyhetsbreven som ger dig bäst koll på samhället

Välj nyhetsbrev