När hoten mot informationssäkerheten växer blir skydd personal- och hälsodata en en allt viktigare fråga, både för hr och ledning. För arbetsgivare handlar det inte bara om att följa lagkrav utan om att värna medarbetares förtroende. Detta behöver du som hr ha koll på för att säkra er hantering av känsliga personaluppgifter.
Under de senaste åren har cyberhoten ökat markant, särskilt mot offentliga organisationer och deras leverantörer. Flera svenska kommuner har drabbats hårt av intrång som fått omfattande konsekvenser – både ekonomiskt och förtroendemässigt.
Vi har pratat med Sabrine Boudraa, Informationssäkerhetschef på MedHelp för att får reda på varför just hälsodata kräver särskilt skydd och vad du som hr kan göra för att få en tryggare och säkrare hantering av medarbetares data.
Hälsodata en särskild kategori inom GDPR
Att just hälsodata behöver extra skydd är ingen slump. Enligt GDPR klassas den här typen av information som känsliga personuppgifter, vilket innebär att arbetsgivare måste hantera den med särskild försiktighet och tydliga säkerhetsrutiner.
– Hälsodata är personuppgifter som kan kopplas till en individ och som rör den individens hälsa, till exempel allt från uppgifter om sjukfrånvarorsak till läkarintyg till rehabdokumentation, säger Sabrine Boudraa.
Denna särskilda status gör att brister i hanteringen kan få allvarliga följder. Och här blir det tydligt att informationssäkerhet inte enbart är en teknisk fråga, utan en strategisk ledningsfråga.
Riskerna med bristande cybersäkerhet
Ett enda dataintrång kan få långtgående konsekvenser, till exempel:
- Ekonomiska kostnader – driftstopp, återställning och skadestånd.
- Förlorad tillit – från medarbetare, invånare eller samarbetspartners.
- Regulatoriska risker – bristande efterlevnad av GDPR och andra applicerbara lagar.
För arbetsgivare handlar det därför om att inte nöja sig med att ”leva upp till minimikraven”, utan att proaktivt ligga i framkant. Detta gäller inte minst i kravställandet gentemot it-system.
I början av 2025 uppgraderade därför vår ISO/IEC 27001-certifiering från 2013 års upplaga till den senaste från 2022, utan anmärkningar.
– Certifieringen visar att informationssäkerhet är en prioriterad fråga på ledningens agenda. Den är ett bevis på att vi arbetar strukturerat, riskbaserat och med ständiga förbättringar för att skydda våra tillgångar – däribland en av de allra viktigaste: kunddata, säger Sabrine Boudraa.
Vad innebär ISO/IEC 27001 i praktiken?
- Vi arbetar löpande och systematiskt med att utveckla och förbättra våra organisatoriska, tekniska och fysiska säkerhetsåtgärder.
- Att vi kontinuerligt revideras, både internt och externt, av oberoende aktörer.
- Att vi utför årliga penetrationstester och andra kontroller.
- Att vi uppfyller krav på konfidentialitet, riktighet och tillgänglighet – tre grundpelare i informationssäkerhet.
Förutom att vara en viktig kvalitetsstämpel är certifieringen en garanti för att de organisationer som väljer oss får en partner som tar informationssäkerhet på största allvar.
Tips till HR – så skyddar ni känsliga hälsodata
Ett första steg är att förstå systemen man använder och säkerställa att säkerhetskraven är anpassade för just det systemet. HR är ofta systemägare av plattformar som hanterar medarbetarnas känsliga data. Därför är det viktigt att säkerhetskraven är tydligt definierade, kommunicerade och kontrollerade, både internt och tillsammans med leverantören.
– Som HR-chef ska du inte själv definiera säkerhetskraven, men du behöver förstå systemet du ansvarar för, så att du kan stödja de krav som tas fram av informationssäkerhets- eller compliance-teamet och säkerställa att de efterlevs kontinuerligt, säger Sabrine Boudraa.
Nedan följer fem tips som ger er en bra grund för säkrare hantering av personalinformation.
1. Ha koll på era leverantörer
Många företag hanterar hälsodata via externa system, som företagshälsovård eller digitala plattformar för frånvarohantering. Men kom ihåg: ansvaret för dataskyddet ligger alltid kvar hos er som arbetsgivare.
- Gör därför en enkel genomgång:
- Se vilka leverantörer som hanterar hälsodata.
- Kontrollera att de uppfyller GDPR och har tydliga säkerhetsrutiner.
- Säkerställ att era leverantörer har grundläggande skydd på plats – som kryptering, loggning och tydlig behörighetsstyrning.
- Se till att avtalen reglerar hur data får lagras, delas och raderas.
- Be om dokumentation av deras säkerhetsåtgärder – och följ upp regelbundet.
2. Begränsa åtkomsten till känslig information
Alla behöver inte se allt. Sätt upp tydliga roller och behörigheter så att bara de som faktiskt behöver åtkomst till hälsodata kan se den. Det gör det enklare att följa principen om dataminimering – och ger trygghet för alla inblandade.
3. Var transparenta med varför ni samlar in uppgifter
Berätta för medarbetarna vilken information som samlas in, varför den behövs och hur länge den sparas. Ju mer öppna ni är, desto större blir tilliten. Samla bara in det som verkligen krävs för syftet – inget mer.
4. Utbilda HR och chefer
Dataskydd är inte bara en IT-fråga. HR och chefer behöver förstå hur känsliga uppgifter ska hanteras, särskilt vid sjukfrånvaro eller rehabilitering. En kort utbildning eller årlig uppdatering kan göra stor skillnad för säkerheten i praktiken.
5. Följ upp och förbättra löpande
Nya system, processer och leverantörer tillkommer hela tiden. Gör därför en årlig kontroll av era rutiner, avtal och behörigheter. På så sätt ser ni till att skyddet är uppdaterat – och slipper oönskade överraskningar.
Med rätt stöd blir det både enklare och säkrare att hantera sjukfrånvaro. Klicka nedan för att se hur MedHelps lösning kan hjälpa er att spara tid – och minska riskerna.