Datum Diarienr 2011-12-12 756-2011 Socialnämnden Sundsvalls kommun 851 85 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen konstaterar att det finns vissa otydligheter rörande Socialnämnden i Sundsvalls kommuns rutiner för behandling av personuppgifter i e-post. Datainspektionen förutsätter att Socialnämnden i Sundsvalls kommun skriftligen förtydligar för sina befattningshavare vad som avses med sekretessbelagd, känslig och integritetskänslig information i Sundsvalls kommuns Informationssäkerhetshandbok Instruktioner för användare. Datainspektionen förutsätter vidare att Socialnämnden i Sundsvalls kommun upprättar och inför rutiner för att säkerställa att de förtydligade instruktionerna efterlevs. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade den 25 maj 2011 att granska Socialnämnden i Sundsvalls kommuns (Nämnden) rutiner för hantering av personuppgifter via e-post. Tillsynen föranleddes inte av klagomål utan ingår som ett led i ett projekt rörande e-post. Nämnden har den 16 juni 2011 inkommit med ett yttrande och i ärendet begärda dokument. Av yttrandet framgår bland annat följande. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Kommunens IT-driftsorganisation står för all drift av servrar för e-post. E-post är åtkomlig via webbmejl efter inloggning till kommunens intranät med användarnamn och lösenord. Webbmejl skyddas av en VPN-tunnel vid inloggning. E-post är också tillgänglig i mobiltelefoner för användare som aktiverat synkronisering via kabel eller mobilnätet. E-post i mobiltelefoner är inte krypterad. E-post internt i kommunens nät krypteras inte. Inom verksamhetsområdena Stöd och omsorg samt Äldreomsorg används istället för e-post en meddelandefunktion som finns i verksamhetssystemet. Inom Individ och familjeomsorg (IFO) finns ingen liknande meddelandefunktion varför information om klienter mejlas okrypterad internt inom kommunen. Inom Stöd och omsorg och Handläggningsenheten finns en muntlig rutin att uppgifter om ärenden/information som utväxlas mellan tjänstemän inte får skickas via Outlook. Ska Outlook användas ska ärendet avidentifieras. Inom IFO skickas mejl okrypterade internt mellan handläggare och till klienter för kännedom, åtgärd eller för yttrande. Vanligen kommuniceras inte känsliga personuppgifter via e-post utan det som mest förekommer är svar på ställda frågor. Av Sundsvalls kommuns Informationssäkerhetshandbok Instruktioner för användare (Kommunens instruktioner) framgår bland annat följande. Sekretessbelagd eller integritetskänslig information får inte skickas med e-post om informationen inte krypteras. All okrypterad e-post bör betraktas som vykort och bör därför inte innehålla information som obehöriga inte ska läsa. Det är inte tillåtet att automatiskt vidarebefordra e-post till en extern e-postadress. Ämnesraden ska inte innehålla någon känslig information. Adressatens namn och organisatoriska tillhörighet ska kontrolleras liksom vilka som är medlemmar av sändlistor om sådana används eftersom det finns en risk att känslig information når fel mottagare. Skäl för beslutet Tillämpliga rättsregler m.m. Av 5 andra stycket förvaltningslagen (1986:223), FL, framgår att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt. I 3 personuppgiftslagen (1998:204), PuL, definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv betecknas i 13 PuL som känsliga personuppgifter. Sida 2 av 5
Den personuppgiftsansvarige, här Nämnden, ska enligt 31 första stycket PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Vid bedömning av hur pass känsliga uppgifterna hos socialtjänsten är ska särskilt beaktas om personuppgifterna definieras som känsliga i personuppgiftslagen, om de omfattas av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen (2009:400) eller annan lagstiftning samt om de är att anse som ömtåliga enligt lagen om behandling av personuppgifter inom socialtjänsten (2001:454), SoLPuL. Det framgår av Datainspektionens Allmänna råd Säkerhet för personuppgifter att uppgifter angående ekonomisk hjälp eller vård inom socialtjänsten som exempel på personuppgifter som normalt är att anse som känsliga (s. 18). Vidare framgår att den personuppgiftsansvarige bland annat att bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning (sid. 13f). Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och göra klart för personalen att det är viktigt att inte dela med sig information till någon annan utan att vara säker på att den personen är behörig att få ta del av informationen. Den personuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Om Nämnden behandlar personuppgifter med stöd av patientdatalagen (2008:355), PdL, blir Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14) tillämpliga. I 2 kap. 5 SOSFS 2008:14 finns bestämmelser som bland annat innebär att patientuppgifter i e-post i praktiken måste krypteras på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem. Möjlighet till undantag från denna bestämmelse finns för kallelser till och påminnelser om besök för vård och behandling. Ytterligare information finns på Socialstyrelsens webbplats: http://www.socialstyrelsen.se/nyheter/2011juli/socialstyrelsenandrarreglernaf orsms-paminnelser Datainspektionen gör följande bedömningar Bedömningen utgår ifrån Kommunens instruktion att sekretessbelagd eller Sida 3 av 5
integritetskänslig information inte får skickas externt med okrypterad e-post och att e-post inte bör innehålla information som obehöriga inte ska läsa. Det är myndigheten som i det enskilda fallet avgör på vilket sätt ett svar på en fråga ska lämnas. Även om en fråga har ställts per e-post kan det finnas situationer då det är lämpligare att svaret lämnas på annat sätt, trots att den enskilde har uttryckt önskemål om att få svaret elektroniskt. Detta kan vara fallet t.ex. om svaret kommer att innehålla uppgifter som omfattas av sekretess (prop. 2002/03:62 sid 20). Det kan, enligt Datainspektionens uppfattning, också vara fallet när föreskrivna säkerhetsåtgärder inte kan vidtas för e- postmeddelandet. Skyldigheten enligt 5 andra stycket FL att se till att det är möjligt för enskilda att kontakta och erhålla svar från Nämnden via e-post åsidosätter således inte kravet på att vidta föreskrivna säkerhetsåtgärder. Det är vidare Datainspektionens uppfattning att behandling av personuppgifter i e-postsystem utgör en särskild risk i sig eftersom det är svårt att tillse att endast behöriga får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Generellt sett är det enklare att skydda personuppgifter som kommuniceras mellan befattningshavare genom användning av meddelandefunktioner i verksamhetssystem än med e-post. Nämnden har uppgivit att e-post internt i kommunens nät inte krypteras. Det får enligt Datainspektionens uppfattning konsekvenser för vilka personuppgifter som kan kommuniceras mellan befattningshavare inom socialtjänsten. Teknikutvecklingen med ökad användning av webbmejl och mobila enheter har också inneburit att resonemang kring intern respektive extern e-post allt mer förlorar sin relevans. Webbmejl innebär så gott som alltid att e-post görs tillgängliga via ett öppet nät och mobila enheter används ofta utanför de egna lokalerna och kommunicerar ofta via andra nätverk än det egna. Att e-post i mobiltelefoner inte är krypterad får liknande konsekvenser eftersom känsliga personuppgifter i mobila enheter ska förses med krypteringsskydd. Nämnden har vidare uppgivit att om Outlook ska användas ska ärendet avidentifieras. Vad som avses med att ärendet avidentifierats framgår inte men Datainspektionen vill här understryka att avlägsnandet av direkta personuppgifter inte åsidosätter kraven på att säkerhetsåtgärder vidtas. Datainspektionen anser att det för undvikande av oavsiktliga integritetsintrång tydligt måste framgå av instruktioner från Nämnden vad som avses med sekretessbelagd information, känslig information och känsliga uppgifter eftersom det uppges att sådana inte får kommuniceras externt. Integritetsskyddet skulle förstärkas av tydlighet från Nämndens sida avseende på vilka typer Sida 4 av 5
av svar på personliga frågor till socialtjänsten som inte anses skyddsvärda enligt tillämpliga rättsregler m.m. ovan. Det bör klart framgå vilka typer av svar på ställda frågor som under vilka omständigheter får respektive inte får skickas med e-post. Detsamma gäller e-post som skickas mellan befattningshavare. Det blir särskilt viktigt med en sådan tydlighet om Nämndens hantering av e- post regleras av två olika regelverk beroende på om det rör sig om socialtjänst (PuL/SoLPuL) eller hälso- och sjukvård (PdL/SOSFS 2008:14). Sammanfattningsvis konstaterar Datainspektionen att det finns vissa otydligheter rörande Socialnämnden i Sundsvalls kommuns rutiner för behandling av personuppgifter i e-post. Datainspektionen förutsätter därför att Socialnämnden i Sundsvalls kommun skriftligen förtydligar för sina befattningshavare vad som avses med sekretessbelag, känslig eller integritetskänslig information i Sundsvall kommuns Informationssäkerhetshandbok Instruktioner för användare. Datainspektionen förutsätter vidare att Socialnämnden i Sundsvalls kommun upprättar och inför rutiner för att säkerställa att de förtydligade instruktionerna efterlevs. Exempel på sådana rutiner skulle kunna innefatta att med viss regelbundenhet påminna om vad dessa förtydliganden innebär. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Socialstyrelsen, Regional tillsynsenhet nord, Box 34, 901 02 Umeå Personuppgiftsombudet Marianne Bergman, via e-post Sida 5 av 5