Uppgifter från intervjuer om drogproblem

Kommuner och landsting

Fråga:

Från socialförvaltningen har till kommunledningskontoret inkommit en begäran om att få installera ett dataprogram vid namn ASI (Addiction Severity Index). Enligt den information som kommunledningskontoret har fått är ASI en strukturerad intervjumetod för bedömning av alkohol- och narkotikarelaterade problem. Syftet med systemet skulle vara att underlätta bearbetningen av intervjumaterialet.

Programmet tillhandahålls, enligt uppgift, av Socialstyrelsen. Enligt material, nerladdat från Socialstyrelsens hemsida, är det fråga om en Access-databas. Vid samtal med angiven kontaktperson så framkom att det finns en ny version i form av en SQL-databas, men då är kostnaden per licens betydligt högre (ca 2 000 kr i jämförelse mot 25 000-50 000 kr).

När jag tillsammans med kommunens IT-säkerhetssamordnare nu börjat titta närmare på programmet, blir vi högst bekymrade dels med hänsyn till de uppgifter som skall registreras, dels med hänsyn till bristen på informationen kring säkerheten.

Den mängd av uppgifter som skall registreras om klienten ifråga är oroväckande ur integritetssynpunkt. Dessutom skall uppgifter om anhöriga till klienten registreras och detta tydligen utan samtycke.

Kommunledningskontoret kommer inte att bevilja att programmet får användas förrän frågetecknen kring detsamma är utredda.

Mitt önskemål är att Datainspektionen gör en generell bedömning av ASI, hur vi överhuvudtaget skall ställa oss till programmet, behov av ev samtycken. Jag är även tacksam för en bedömning av den IT-säkerhet programmet kräver.

Svar:

Du har ställt frågor om ett dataprogram, ASI, som socialtjänsten i kommunen vill börja använda. ASI är en strukturerad intervjumetod för bedömning av alkohol- och narkotikarelaterade problem. Datainspektionen lämnar följande vägledning.

Om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen (PuL) så ska de bestämmelserna gälla. För socialtjänstens del finns avvikande bestämmelser i lagen och förordningen om behandling av personuppgifter inom socialtjänsten. Den lagstiftningen gäller för behandling av personuppgifter som rör verksamhet inom socialtjänsten. Inom socialtjänsten får personuppgifter behandlas bara om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Känsliga personuppgifter får bara behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. I annat fall ska personuppgiftslagens bestämmelser tilllämpas. Enligt personuppgiftslagen är det förbjudet att behandla känsliga personuppgifter utan samtycke från den uppgiften rör. Det finns några undantag från detta förbud, men inget undantag synes tillämpligt i detta fall. Om de känsliga personuppgifterna inte får behandlas med stöd av lagen om behandling av personuppgifter inom socialtjänsten måste socialnämnden därför inhämta samtycke för att behandlingen ska vara laglig. I ASI kan även personuppgifter om anhöriga komma att behandlas. Om samtycke krävs för att behandlingen ska vara tillåten måste samtycke även inhämtas från de anhöriga.

Den personuppgiftsansvarige har en omfattande skyldighet att självmant informera de registrerade om hur deras personuppgifter kommer att behandlas. Detta gäller oavsett om behandlingen får utföras utan samtycke eller inte. Socialnämnden måste lämna fullständig information enligt personuppgiftslagen till klienterna oavsett med vilket lagstöd uppgifterna behandlas.

Om personuppgifter samlas in från någon annan källa än den registrerade själv behöver information inte lämnas om det finns bestämmelser om registreringen i någon annan lag eller författning än personuppgiftslagen. Exempel på ett sådant undantag är lagen om behandling av personuppgifter inom socialtjänsten. Uppgifterna om de anhöriga inhämtas inte direkt från de registrerade utan från klienterna. Socialnämnden behöver därför inte informera de anhöriga om personuppgifterna behandlas med stöd av lagen om behandling av personuppgifter inom socialtjänsten. Om det däremot krävs samtycke enligt personuppgiftslagen måste de anhöriga ges fullständig information innan de lämnar sitt samtycke. I Datainspektionens allmänna råd Information till registrerade finns mer att läsa om informationsskyldigheten.

Läs Datainspektionens Allmänna råd Information till registrerade, i pdf-format

I personuppgiftslagen finns bestämmelser om säkerhet vid behandling av personuppgifter. Datainspektionen har tagit fram allmänna råd som preciserar säkerhetskraven.

Läs Allmänna råd Säkerhet för personuppgifter, i pdf-format

I ASI kommer mycket integritetskänsliga personuppgifter att behandlas. Det är därför viktigt att kommunen tar ställning till vilka säkerhetsåtgärder som ska vidtas för att skydda personuppgifterna. För att kunna bedöma riskerna med behandlingen bör kommunen göra en sårbarhets- och riskanalys. Kommunen bör se till att Datainspektionens allmänna råd om säkerhet uppfylls när personuppgifter behandlas i ASI. Kommunen bör därför kontakta leverantören av programmet och säkerställa att ASI klarar att uppfylla de allmänna råden.

Datainspektionen vill särskilt peka på följande när det gäller säkerheten. Det är viktigt att personuppgifterna skyddas från obehörig åtkomst. Det ska därför finnas ett system för behörighetskontroll. I ett sådant system ska det vara möjligt att identifiera användare och bekräfta användarens identitet. Endast de personer som behöver uppgifterna för sitt arbete ska ges tillgång till känsliga personuppgifter. Kommunen måste därför se till att så få personer som möjligt ges åtkomst till uppgifterna.

För att kunna kontrollera åtkomsten ska det finnas en behandlingshistorik (logg) som sparas en viss tid. Loggen bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Loggen bör visa användarens identitet, datum och tid för åtkomst samt information om vilka uppgifter användaren har haft åtkomst till. Kommunen bör ta fram en rutin för regelbunden uppföljning av loggen. De anställda måste få information om loggningen och uppföljningen av loggen.

Datainspektionen utgår från att det inte är aktuellt att ��verföra uppgifter genom extern datakommunikation. Om det blir fråga om att använda bärbara datorer är det viktigt att kryptera personuppgifterna.

(April 2005)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.