Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen konstaterar att det finns vissa otydligheter rörande Socialnämndens i Lunds kommun rutiner för behandling av personuppgifter i e-post. Datainspektionen förutsätter att Socialnämnden i Lunds kommun förtydligar vad som avses med känslig information och känsliga uppgifter i sina Riktlinjer för hantering av personuppgifter i e-post. Datainspektionen förutsätter också att Socialnämnden i Lunds kommun upprättar och inför rutiner för att säkerställa att de förtydligade riktlinjerna efterlevs. Datainspektionen förutsätter vidare att det finns ett personuppgiftsbiträdesavtal med leverantören av den spam- och antivirustjänst som kommunen använder sig av. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade den 25 maj 2011 att granska Socialnämnden Lunds kommuns (Nämnden) rutiner för hantering av personuppgifter via e-post. Tillsynen föranleddes inte av klagomål utan ingår som ett led i ett projekt rörande e-post. Nämnden har den 17 juni 2011 inkommit med ett yttrande och i ärendet begärda rutiner och riktlinjer. Under ärendets gång har fram- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

kommit att Nämnden behandlar personuppgifter både för att tillhandahålla socialtjänst och för att, inom verksamhetsområdet Vuxenstöd och socialpsykiatri, tillhandahålla hälso- och sjukvård. Av yttrandet och ingivna dokument framgår bland annat följande. Kommunen tillåter åtkomst till det egna e-postsystemet via webbmejl. Inloggning sker via https med ett signerat servercertifikat. Synkronisering av e-post till mobiltelefoner sker med krypterad kommunikation. Kommunen använder sig av en extern leverantörs spam- och antivirustjänst. Kommunstyrelsen i Lunds kommun antog den 8 maj 2003 Riktlinjer avseende användning av datorer, Internet och e-postsystem i Lunds kommun (Kommunens riktlinjer). Där framgår bland annat att när dokument som innehåller uppgifter som är föremål för sekretess skickas via e-post eller fax ska den som skickar uppgifterna förvissa sig om att säkerheten är tillfredsställande så att obehöriga inte kan få tillgång till uppgifterna. Rutiner kring och instruktioner till befattningshavare inom Socialtjänsten om vad som får eller inte får kommuniceras via e-post har hittills varit muntliga, men finns nu dokumenterade i Riktlinjer för hantering av personuppgifter via e-post (Nämndens riktlinjer) och kommer att kommuniceras med personalen. All personal kommer även att få underteckna en användarförsäkran, som bifogats, med syfte att tydliggöra regler för datoranvändande. I Nämndens riktlinjer framgår bland annat följande. E-post klassas i Lunds kommun som osäkert och av den anledningen ska inte känslig information skickas via detta system. När uppgifter om enskilda skickas till kollegor är det viktigt att meddelandet inte röjer uppgifter om personen så att denne är identifierbar för utomstående och att meddelandet [inte] innehåller känslig information. Om man behöver skicka uppgifter för att identifiera en person kan man använda sig av endast födelsenummer eventuellt i kombination med initialer för att det ska framgå vilken person som avses. Man ska aldrig skriva ut hela personnumret, fullständigt namn, adress eller skriva om känsliga uppgifter i e-postmeddelandet. Om klienten eller brukaren har skyddade personuppgifter ska aldrig information om klienten/brukaren kommuniceras via e-post. Skäl för beslutet Tillämpliga rättsregler m.m. Sida 2 av 7

Av 5 andra stycket förvaltningslagen (1986:223), FL, framgår att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt. I 3 personuppgiftslagen (1998:204), PuL, definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och personuppgiftsbiträde som en som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv betecknas i 13 PuL som känsliga personuppgifter. Den personuppgiftsansvarige, här Nämnden, ska enligt 31 första stycket PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Vid bedömning av hur pass känsliga uppgifterna hos socialtjänsten är ska särskilt beaktas om personuppgifterna definieras som känsliga i personuppgiftslagen, om de omfattas av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen (2009:400) eller annan lagstiftning samt om de är att anse som ömtåliga enligt lagen om behandling av personuppgifter inom socialtjänsten (2001:454), SoLPuL. Det framgår av Datainspektionens Allmänna råd Säkerhet för personuppgifter att uppgifter angående ekonomisk hjälp eller vård inom socialtjänsten som exempel på personuppgifter som normalt är att anse som känsliga (s. 18). Vidare framgår att den personuppgiftsansvarige bland annat att bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning (sid. 13f). Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och göra klart för personalen att det är viktigt att inte dela med sig information till någon annan utan att vara säker på att den personen är behörig att få ta del av informationen. Den personuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Sida 3 av 7

Enligt 30 andra stycket PuL ska det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 första stycket. Av 31 andra stycket framgår att en personuppgiftsansvarig som anlitar ett personuppgiftsbiträde ska förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. För användandet av e-post inom hälso- och sjukvården är även följande bestämmelser tillämpliga. Av 5 kap. 6 PdL framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. I regeringens proposition Patientdatalag m.m. (prop. 2007/08:126) anges e-post som ett sådant medium för utlämnande som avses i bestämmelsen (s. 246). Av 1 kap. 2 SOSFS 2008:14 framgår att patientuppgifter är personuppgifter om patienter. I 2 kap. SOSFS 2008:14 finns bestämmelser om ansvar för informationssäkerhet. Bestämmelserna i 2 kap. 5 SOSFS 2008:14 om användning av öppna nät för hantering av patientuppgifter innebär att överföring av patientuppgifter ska göras på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter ska föregås av stark autentisering. I Socialstyrelsens handbok till SOSFS 2008:14 anges Internet, Sjunet och telenätet som exempel på öppna nät. Av 4 kap. 8 SOSFS 2008:14 framgår att den person som lämnar ut patientuppgifter ska försäkra sig om att endast rätt mottagare tar emot uppgifterna. Datainspektionen gör följande bedömningar Bedömningen utgår ifrån Nämndens egna riktlinjer att känslig information inte får skickas med e-post och att befattningshavare aldrig ska skriva om känsliga uppgifter i e-postmeddelanden. Det är myndigheten som i det enskilda fallet avgör på vilket sätt ett svar på en fråga ska lämnas. Även om en fråga har ställts per e-post kan det finnas situationer då det är lämpligare att svaret lämnas på annat sätt, trots att den enskilde har uttryckt önskemål om att få svaret elektroniskt. Detta kan vara fallet t.ex. om svaret kommer att innehålla uppgifter som omfattas av sekretess (prop. 2002/03:62 sid 20). Det kan, enligt Datainspektionens uppfattning, också vara fallet när föreskrivna säkerhetsåtgärder inte kan vidtas för e- postmeddelandet. Skyldigheten enligt 5 andra stycket FL att se till att det är Sida 4 av 7

möjligt för enskilda att kontakta och erhålla svar från Nämnden via e-post åsidosätter således inte kravet på att vidta föreskrivna säkerhetsåtgärder enligt PdL, SOSFS 2008:14 eller PuL. Enligt Datainspektionens uppfattning utgör behandling av personuppgifter i e-postsystem en särskild risk i sig eftersom det är svårt att tillse att endast behöriga får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Datainspektionen konstaterar att den metod för inloggning till kommunens webbmejl (epost.lund.se) som används (användarnamn och lösenord) inte är tillräcklig för hantering av patientuppgifter, känsliga personuppgifter eller uppgifter som rör bistånd eller vård inom socialtjänsten kommuniceras via e-post. Datainspektionen anser att det finns vissa otydligheter i Nämndens riktlinjer. Det framgår till exempel att e-post i Lunds kommun klassas som osäkert och av den anledningen ska inte känslig information skickas via detta system. Det framgår dock inte närmare av riktlinjerna vad som avses med känslig information. Det anges att om man behöver skicka uppgifter för att identifiera en person kan man använda sig av endast födelsenummer eventuellt i kombination med initialer för att det ska framgå vilken person som avses. Att på det här sättet göra en klient eller brukare svåridentifierad är enligt Datainspektionens uppfattning inte tillräckligt för att särskilda säkerhetsåtgärder, såsom meddelandekryptering, inte ska behöva vidtas om patientuppgifter, känsliga personuppgifter eller uppgifter som rör bistånd eller vård inom socialtjänsten kommuniceras via e-post. Vidare anges i Nämndens riktlinjer att det vid kommunikation mellan personal och klienter/brukare som har skyddade personuppgifter är särskilt viktigt [för befattningshavaren] att försäkra sig om att e-post är ett av klienten bedömt säkert sätt att kommunicera samt att e-post ska användas restriktivt för att svara på personliga frågor. Nämnden har själv gjort bedömningen att känslig information inte ska kommuniceras via e-post varför det blir missvisande att hänvisa befattningshavare till klientens bedömning. Datainspektionen vill understryka att kraven på att lämpliga säkerhetsåtgärder vidtas vilar på Nämnden såsom personuppgiftsansvarig. Datainspektionen anser att det för undvikande av oavsiktliga integritetsintrång tydligt måste framgå i Nämndens riktlinjer vad som avses med känslig information och känsliga uppgifter eftersom det uppges att känslig information inte får skickas med e-post och att befattningshavare aldrig ska skriva om Sida 5 av 7

känsliga uppgifter i e-postmeddelanden. Integritetsskyddet skulle förstärkas av tydlighet i Nämndens riktlinjer med avseende på vilka typer av svar på personliga frågor till socialtjänsten som inte anses skyddsvärda enligt tillämpliga rättsregler m.m. ovan. Det blir särskilt viktigt med denna tydlighet eftersom Nämndens e-post regleras av två olika regelverk beroende på om det rör sig om socialtjänst (PuL/SoLPuL) eller hälso- och sjukvård (PdL/SOSFS 2008:14). När det senare regelverket (PdL/SOSFS 2008:14) är tillämpligt, det vill säga inom verksamhetsområdet Vuxenstöd och socialpsykiatri, måste riktlinjerna för e-post återspegla de säkerhetskrav som framgår av 2 kap. 5 SOSFS 2008:14. Det bör alltså klart framgå vilka typer av personuppgifter som under vilka omständigheter får respektive inte får skickas med e-post. Sammanfattningsvis konstaterar Datainspektionen att det finns vissa otydligheter rörande Socialnämnden i Lunds kommuns rutiner för behandling av personuppgifter i e-post. Datainspektionen förutsätter därför att Socialnämnden i Lunds kommun förtydligar vad som avses med känslig information och känsliga uppgifter i sina Riktlinjer för hantering av personuppgifter i e-post. Datainspektionen förutsätter också att Socialnämnden i Lunds kommun upprättar och inför rutiner för att säkerställa att de förtydligade riktlinjerna efterlevs. Exempel på sådana rutiner skulle kunna innefatta att med viss regelbundenhet påminna om Nämndens riktlinjer och innehållet i den användarförsäkran som befattningshavarna undertecknat. Datainspektionen förutsätter vidare att det finns ett personuppgiftsbiträdesavtal med leverantören av den spam- och antivirustjänst som kommunen använder sig av. Övrigt Datainspektionen vill uppmärksamma Socialnämnden på Socialstyrelsens förändring av 2 kap. 5 SOSFS 2008:14 som innebär att påminnelser och kallelser till vård och behandling, under vissa förutsättningar, kan skickas till patienter via SMS eller oskyddad e-post. Förändringarna trädde ikraft den 1 september 2011. Mer finns att läsa på deras hemsida: http://www.socialstyrelsen.se/nyheter/2011juli/socialstyrelsenandrarreglernaf orsms-paminnelser Sida 6 av 7

Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Socialstyrelsen, Regional tillsynsenhet syd, Box 4106, 203 12 Malmö Sida 7 av 7