Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen konstaterar att det finns vissa otydligheter rörande Socialnämnden i Södertälje kommuns rutiner för behandling av personuppgifter i e-post. Datainspektionen förutsätter att Socialnämnden i Södertälje kommun skriftligen förtydligar för sina befattningshavare vad som avses med information som är känslig ur spridningssynpunkt i Södertälje kommuns riktlinjer för E-post eftersom det anges att sådan inte får hanteras i e-postsystemet. Datainspektionen förutsätter också att Socialnämnden i Södertälje kommun upprättar och inför rutiner för att säkerställa att de förtydligade instruktionerna efterlevs. Datainspektionen förutsätter vidare att det finns personuppgiftsbiträdesavtal med spamfilterleverantören respektive outsourcingleverantören för drift av e-postsystemet. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade den 25 maj 2011 att granska Socialnämnden i Södertälje kommuns (Nämnden) rutiner för hantering av personuppgifter via e-post. Tillsynen föranleddes inte av klagomål utan ingår som ett led i ett pro- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
jekt rörande e-post. Nämnden har den 15 juni 2011 inkommit med ett yttrande och Södertälje kommuns riktlinjer för e-post. Av yttrandet framgår bland annat följande. Kommunen använder en extern leverantör/tjänst för spamfiltrering och en outsourcingleverantör för driften av e-postservrarna, som är placerade i kommunens centrala serverhall. Användare kan nå e-posten via webbmejl och bärbara distansarbetesdatorer samt synkronisera e-post med smartphones. Vid användning av distansarbetsplats skyddas kommunikationen av en VPNanslutning, förstärkt med RSA-dosa. Kommunikationssessioner via webbmejl skyddas av 128-bit SSL-certifikat. Trådlös synkronisering av e-post till smartphones är oftast skyddat av certifikat, installerat på mobilen. Det finns en stor medvetenhet hos handläggare att inte skicka sekretessbelagda uppgifter via e-post. Om brukare i sin e-post lämnat personuppgifter e. dyl. så kan i svaret till brukaren från handläggare den ursprungliga informationen finnas kvar. Kallelser eller påminnelser skickas ibland som e-post. Enligt kommunens riktlinjer för e-post får inte e-post användas för att förmedla information som är klassificerad som känslig, om inte erforderliga säkerhetsåtgärder har vidtagits, t ex kryptering av meddelandeinnehåll. I Södertälje kommuns riktlinjer för E-post (Kommunens riktlinjer) står bland annat följande. Observera att e-post eller fax inte får användas för att förmedla sekretessbelagd information utan att man först har säkerställt att rätt mottagare har vidtagit erforderliga säkerhetsåtgärder och att överföringen sedan sker på sådant sätt att sekretessbelagda uppgifter inte röjs. Hantering av information som är känslig ur spridningssynpunkt, är enbart tillåten då det finns särskilda funktioner för att förhindra obehörig åtkomst. Om dessa funktioner saknas får inte denna information hanteras i e-postsystemet. Skäl för beslutet Tillämpliga rättsregler m.m. Av 5 andra stycket förvaltningslagen (1986:223), FL, framgår att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt. Sida 2 av 6
I 3 personuppgiftslagen (1998:204), PuL, definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och personuppgiftsbiträde som en som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv betecknas i 13 PuL som känsliga personuppgifter. Den personuppgiftsansvarige, här Nämnden, ska enligt 31 första stycket PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Vid bedömning av hur pass känsliga uppgifterna hos socialtjänsten är ska särskilt beaktas om personuppgifterna definieras som känsliga i personuppgiftslagen, om de omfattas av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen (2009:400) eller annan lagstiftning samt om de är att anse som ömtåliga enligt lagen om behandling av personuppgifter inom socialtjänsten (2001:454), SoLPuL. Det framgår av Datainspektionens Allmänna råd Säkerhet för personuppgifter att uppgifter angående ekonomisk hjälp eller vård inom socialtjänsten som exempel på personuppgifter som normalt är att anse som känsliga (s. 18). Vidare framgår att den personuppgiftsansvarige bland annat att bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning (sid. 13f). Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och göra klart för personalen att det är viktigt att inte dela med sig information till någon annan utan att vara säker på att den personen är behörig att få ta del av informationen. Den personuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Enligt 30 andra stycket PuL ska det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de Sida 3 av 6
åtgärder som avses i 31 första stycket. Av 31 andra stycket framgår att en personuppgiftsansvarig som anlitar ett personuppgiftsbiträde ska förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Om Nämnden behandlar personuppgifter med stöd av patientdatalagen (2008:355), PdL, blir Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14) tillämpliga. I 2 kap. 5 SOSFS 2008:14 finns bestämmelser som bland annat innebär att patientuppgifter i e-post i praktiken måste krypteras på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem. Möjlighet till undantag från denna bestämmelse finns för kallelser till och påminnelser om besök för vård och behandling. Ytterligare information finns på Socialstyrelsens webbplats: http://www.socialstyrelsen.se/nyheter/2011juli/socialstyrelsenandrarreglernaf orsms-paminnelser Datainspektionen gör följande bedömningar Bedömningen utgår ifrån Kommunens riktlinjer som säger att information som är känslig ur spridningssynpunkt inte får hanteras i e-postsystemet. Det är Datainspektionens uppfattning att behandling av personuppgifter i e-postsystem utgör en särskild risk i sig eftersom det är svårt att tillse att endast behöriga får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Det är myndigheten som i det enskilda fallet avgör på vilket sätt ett svar skall lämnas. Även om en fråga har ställts per e-post kan det finnas situationer då det är lämpligare att svaret lämnas på annat sätt, trots att den enskilde har uttryckt önskemål om att få svaret elektroniskt. Detta kan vara fallet t.ex. om svaret kommer att innehålla uppgifter som omfattas av sekretess (prop. 2002/03:62 sid 20). Det kan, enligt Datainspektionens uppfattning, också vara fallet när föreskrivna säkerhetsåtgärder inte kan vidtas för e- postmeddelandet. Skyldigheten enligt 5 FL att se till att det är möjligt för enskilda att kontakta och erhålla svar från Nämnden via e-post åsidosätter således inte kravet på att vidta föreskrivna säkerhetsåtgärder. Datainspektionen delar Nämndens bedömning att vissa personuppgifter kräver särskilda säkerhetsåtgärder såsom till exempel meddelandekryptering. Nämnden har uppgivit att om brukare i e-post [till Nämnden] lämnat personuppgifter e. dyl. så kan i svaret till brukaren från handläggare den ursprungliga informationen finnas kvar. Datainspektionen vill påpeka att Nämnden all- Sida 4 av 6
tid är ansvarig för att tillräckliga säkerhetsåtgärder vidtas när e-post skickas från socialtjänsten. Det innebär att om den ursprungliga informationen innehåller integritetskänsliga personuppgifter ska dessa skyddas på samma sätt som om de upprättats inom socialtjänsten. Ett alternativ är att utelämna sådana uppgifter ur svaret, det vill säga se till att den ursprungliga frågan inte följer med ett svar som lämnas via e-post. Datainspektionen vill i sammanhanget nämna att granskningen omfattat enbart Nämndens rutiner för hantering av e-post. Därigenom har inte i ärendet utretts om eller i så fall vilka särskilda funktioner för att förhindra obehörig åtkomst som finns i e-postsystemet. Om sådana funktioner saknas får enligt Kommunens riktlinjer inte denna information hanteras i e-postsystemet. Det måste då finnas rutiner för att föra ut e-post som innehåller information som är känslig ur spridningssynpunkt ur systemet. Om en sådan rutin följs kommer inte ett svar på e-postmeddelanden kunna innehålla uppgifter som är känsliga ur spridningssynpunkt och som härstammar från en frågeställare. Datainspektionen anser att det för undvikande av oavsiktliga integritetsintrång tydligt måste framgå av instruktioner från Nämnden vad som avses med information som är klassificerad som känslig eftersom särskilda säkerhetsåtgärder, t ex kryptering av meddelandeinnehåll, då ska vidtas. Integritetsskyddet skulle förstärkas ytterligare av tydlighet från Nämndens sida avseende när särskilda säkerhetsåtgärder inte behöver vidtas så att det klart framgår vilka typer av svar på ställda frågor som under vilka omständigheter får respektive inte får skickas med e-post. Det blir särskilt viktigt med en sådan tydlighet om Nämndens hantering av e-post regleras av två olika regelverk beroende på om det rör sig om tillhandahållande av socialtjänst (PuL/SoLPuL) eller av hälsooch sjukvård (PdL/SOSFS 2008:14). Sammanfattningsvis konstaterar Datainspektionen att det finns vissa otydligheter rörande Socialnämnden i Södertälje kommuns rutiner för behandling av personuppgifter i e-post. Datainspektionen förutsätter därför att Socialnämnden i Södertälje kommun skriftligen förtydligar för sina befattningshavare vad som avses med information som är känslig ur spridningssynpunkt i Södertälje kommuns riktlinjer för E-post eftersom det anges att sådan inte får hanteras i e-postsystemet. Datainspektionen förutsätter vidare att Socialnämnden i Södertälje kommun upprättar och inför rutiner för att säkerställa att de förtydligade instruktionerna efterlevs. Exempel på sådana rutiner skulle kunna innefatta att med viss regelbundenhet påminna om vad detta förtydligande innebär. Sida 5 av 6
Datainspektionen förutsätter vidare att det finns personuppgiftsbiträdesavtal med spamfilterleverantören respektive outsourcingleverantören för drift av e-postsystemet. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Socialstyrelsen, Regional tillsynsenhet öst, 106 30 Stockholm Personuppgiftsombudet Mari Gradin, via e-post Sida 6 av 6