Rapporter enligt socialtjänstlagen

Kommuner och landsting

Fråga:

Sedan den 1 juli 2006 ska kommunen varje kvartal rapportera ej verkställda beslut enligt 4 kap. 1 § socialtjänstlagen till länsstyrelsen, kommunens revisorer och kommunfullmäktige. Kan biståndshandläggaren lägga upp ett dataregister över ej verkställda beslut?

Svar:

Enligt 6 § andra stycket lagen om behandling av personuppgifter inom socialtjänsten är det tillåtet att behandla personuppgifter för uppgiftsutlämnande som föreskrivs i lag eller förordning. I ert fall är rapporteringsskyldigheten reglerad i 16 kap. 6 f § – 6 h § socialtjänstlagen. Det är tillåtet att göra sammanställningar av känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden för tillsynsändamål enligt 7 a § första stycket tredje punkten lagen om behandling av personuppgifter inom socialtjänsten. Datainspektionen anser att det mot bakgrund av dessa bestämmelser får anses tillåtet att behandla personuppgifter för dessa rapporteringssyften och att göra sammanställningar av rapporteringspliktiga beslut.

Enligt 6 § första stycket lagen om behandling av personuppgifter inom socialtjänsten är det bara nödvändig personuppgiftsbehandling för arbetsuppgifter inom socialtjänsten som får utföras. I frågan vilka personuppgifter som är nödvändiga kan man söka ledning i 16 kap. 6 f § – 6h § socialtjänstlagen och i förarbetena till de nya bestämmelserna i socialtjänstlagen (regeringens proposition 2005/06:115 Nationell utvecklingsplan för vård och omsorg om äldre).

Vad jag förstår innebär också bestämmelserna i 16 kap. socialtjänstlagen att ni har behov av historik för att kunna följa utvecklingen för ett rapporteringspliktigt beslut.

Precis som vid all annan behandling av personuppgifter i socialtjänsten är det viktigt att säkerhetsåtgärder vidtas så att bara den eller de som jobbar med ändamålet rapporteringsskyldighet har åtkomst till listan och att åtkomsten – även läsning – i efterhand kan härledas till en viss handläggare. En sådan spårbarhet behövs för att en logguppföljning ska bli meningsfull.

Länsstyrelserna har varit i kontakt med Datainspektionen för att samråda om sin hantering av personuppgifter för tillsynsändamål. Anteckningarna från mötet bifogas för kännedom. Du bör notera att frågan om information till de registrerade berördes.

(Juni 2007)

Möte hos Datainspektionen 2007-01-17 med anledning av en begäran om samråd i frågor som rör databehandling i länsstyrelsernas tillsynsverksamhet

Eftersom länsstyrelsernas tillsyn utgör myndighetsutövning enligt socialtjänstlagen är länsstyrelsernas bedömning att lagen om behandling av personuppgifter inom socialtjänsten och personuppgiftslagen är tillämpliga för den databehandling som länsstyrelserna behöver utföra. Personnummer behövs för en säker identifiering i tillsynen av två skäl. Det ena är att det kan finnas ej verkställda beslut om samma individ i flera instanser. Det andra är att samma beslut i vissa fall blir aktuellt i en senare rapporteringsperiod om beslutet inte har verkställts eller om verkställigheten har avbrutits. I september 2006 inrapporterades 3 250 beslut till länsstyrelserna. Pappersformulär har hittills använts som rapportunderlag. Någon praktisk möjlighet för länsstyrelserna att självmant informera de registrerade om datahanteringen finns inte eftersom uppgifterna samlas in från socialnämnderna och en begäran om sanktionsavgift riktar sig till socialnämnderna. Länsstyrelserna ingår i en arbetsgrupp med deltagare också från några kommuner, Sveriges Kommuner och Landsting samt Socialstyrelsen. Ett pilotprojekt kommer att drivas för datahanteringen med några inrapporterande kommuner. Varje länsstyrelse är personuppgiftsansvarig för den behandling av personuppgifter som den länsstyrelsen kommer att utföra inom ramen för sin tillsyn. Den faktiska datadriften kommer troligen att ske på ett ställe. Inhämtandet av uppgifter från socialnämnderna planeras ske krypterat via en webbklient. Socialnämnderna ska inte ha möjlighet till någon direktåtkomst utan det är bara fråga om en kanal får inrapportering. Det är en viktig kvalitetsfråga att socialnämnderna rapporterar rätt uppgifter och därför övervägs användarcertifikat som grund för inrapporteringen. Endast bestämda handläggare av dessa tillsynsärenden kommer att tilldelas åtkomstbehörighet hos respektive länsstyrelse. Det pågår ett arbete med att ta fram en kravspecifikation för datadriften. Länsstyrelserna tillämpar ett omvänt skaderekvisit enligt 7 kap. 4 § sekretesslagen.

Datainspektionen uppger att inspektionen på nuvarande underlag delar länsstyrelsernas bedömning att det finns en laglig grund för databehandlingen med utgångspunkt i 2 § och 7 a § lagen om behandling av personuppgifter inom socialtjänsten samt därutöver för behovet av personnummer. När det gäller information till de registrerade om databehandlingen har kommunerna möjlighet att informerar om att respektive länsstyrelse kan utgöra mottagare (25 § första stycket c) personuppgiftslagen) av personuppgifter inom ramen för länsstyrelsernas tillsyn. Datainspektionen påtalar att känsliga och sekretessbelagda personuppgifter kräver hög säkerhet vid b1.a. inhämtande, överföring och lagring. En hög säkerhet vid överföringen kan upprätthållas med servercertifikat och stark kryptering med SSL. Goda rutiner för en strikt behörighetstilldelning till de personer som arbetar med dessa tillsynsfrågor och dokumentation av åtkomsten i loggar bidrar till hög säkerhet. Om datadriften samlas på ett ställe ska uppgifterna vara logiskt separerad för respektive länsstyrelse. En länsstyrelse som väljer att ha sin databas hos ett personuppgiftsbiträde ska följa kraven i 30 § andra stycket personuppgiftslagen om skriftligt avtal med personuppgiftsbiträdet och i 31 § andra stycket personuppgiftslagen om att förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.