Informationssäkerhet och regelefterlevnad

01

Regelefterlevnad

Edith Care är utformad för att uppfylla alla relevanta regelverk för personuppgiftsbehandling inom känsliga verksamheter. Nedan beskrivs efterlevnad med särskilt fokus på socialtjänstens regelverk.

Socialtjänstlagen (SoL)

Socialtjänstlagen ställer krav på dokumentation och handläggning av ärenden. Edith Care stödjer dessa krav genom:

• •Strukturerad ärendedokumentation enligt 11 kap. SoL
• •Automatisk tidslinje över alla händelser i ett ärende
• •Stöd för beslutsunderlag med tydlig motivering
• •Gallringshantering enligt 12 kap. 1 § (5 års gallringsfrist)

Offentlighets- och sekretesslagen (OSL)

Sekretess är centralt i verksamheter som hanterar känsliga uppgifter. Edith Care säkerställer att sekretessbestämmelserna i 26 kap. OSL efterlevs genom:

• •Strikt behörighetskontroll – endast behörig personal får åtkomst
• •Ingen delning av uppgifter mellan verksamhetsgrenar utan sekretessbrytande bestämmelse
• •Tekniska spärrar mot otillåten sökning och samkörning
• •Loggning av all åtkomst för tillsyn och internkontroll

SoLPUL och SoLPUF

Lagen och förordningen om behandling av personuppgifter inom socialtjänsten innehåller specifika krav som Edith Care uppfyller:

• •Ändamålsbegränsningar vid handläggning – endast sökning på namn, personnummer eller ärendenummer (15 § SoLPUF)
• •Åtkomstkontroll – begränsning till vad som behövs för arbetsuppgifterna (10 § SoLPUL)
• •Dokumenterad åtkomstkontroll med systematisk uppföljning (10 § SoLPUL)
• •Förbud mot sammanställning av uppgifter om facklig tillhörighet

Sammanställningsregister (7 a § SoLPUL)

Känsliga personuppgifter får endast sammanställas i begränsade undantagsfall. Edith Care följer dessa regler strikt:

• •Känsliga uppgifter sammanställs endast när det finns laglig grund
• •Tillåtet för: uppföljning, utvärdering och kvalitetssäkring av verksamheten
• •Tillåtet för: uppgifter om åtgärder som utgör myndighetsutövning
• •Orosanmälningar kan analyseras då beslut att inte utreda är myndighetsutövning
• •Uppgifter om facklig tillhörighet sammanställs aldrig

Dataskyddsförordningen (GDPR)

Som grund för all personuppgiftsbehandling följer Edith Care GDPR:s principer:

• •Laglighet – nödvändiga uppgifter samlas in
• •Korrekthet – mekanismer för att säkerställa uppdaterade uppgifter
• •Lagringsminimering – automatisk gallring efter gallringsfrist
• •Integritet och konfidentialitet genom tekniska och organisatoriska åtgärder
• •Inbyggt dataskydd (privacy by design) i all utveckling

EU:s AI-förordning (2024/1689)

AI-system som används inom offentlig förvaltning för beslut som påverkar tillgång till väsentliga tjänster klassificeras som högrisk-system. Edith Care förbereder för full efterlevnad senast augusti 2026 genom:

• •Riskhanteringssystem med dokumenterade risker och åtgärder (artikel 9)
• •Datastyrning med kvalitetskontroll av träningsdata (artikel 10)
• •Teknisk dokumentation av systemets design och funktion (artikel 11)
• •Transparens – tydlig förklaring av AI:ns logik och begränsningar (artikel 13)
• •Mänsklig tillsyn – alla beslut granskas av användaren (artikel 14)
• •Registrering i EU:s databas för AI-system före driftsättning (artikel 51)

AI-kompetens kräver att personal som arbetar med AI-system har tillräcklig AI-kunnighet. Edith Care stödjer detta genom:

• •Tydlig dokumentation av AI-systemets kapacitet och begränsningar
• •Utbildningsmaterial för användare av systemet
• •Löpande support och vägledning vid användning
• •Regelbunden uppdatering när AI-funktioner utvecklas

Kommunallagen (6 kap. 37–38 §)

Vissa beslut kan inte delegeras till automatiserade system enligt kommunallagen. Edith Care säkerställer att:

• •Överklaganden och klagomål hanteras alltid av behörig personal
• •Upphandlingsbeslut fattas av behörig person
• •Beslut om valfrihetssystem fattas manuellt
• •Ärenden som kräver att barn ges möjlighet att yttra sig (3 kap. 2 § SoL) har obligatorisk mänsklig granskning

02

Dataskydd och kryptering

Datalagring i Sverige

All data lagras uteslutande i svenska datacenter hos certifierade molnleverantörer. Detta säkerställer att uppgifterna omfattas av svensk lagstiftning och att data aldrig lämnar Sveriges gränser. Våra leverantörer uppfyller strikta krav på säkerhet, certifieringar och datasuveränitet.

Kryptering

Edith Care använder stark kryptering i flera lager:

• •Kryptering vid lagring (at rest): AES-256, branschstandard för känslig data
• •Kryptering vid överföring (in transit): TLS 1.3, den senaste och säkraste standarden
• •Krypteringsnycklar hanteras i dedikerade nyckelhanteringstjänster med strikt åtkomstkontroll
• •Ingen okrypterad data lagras någonsin

Åtkomstkontroll

Endast behörig personal får åtkomst till systemet och informationen:

• •Stark autentisering med företagsidentitet och multifaktorautentisering (MFA)
• •Rollbaserad behörighet – användare ser endast sina egna ärenden
• •Arbetsledare ser endast sitt teams ärenden
• •Automatisk utloggning efter 30 minuters inaktivitet
• •Maximal sessionslängd på 8 timmar
• •Inga delade konton tillåts

03

Spårbarhet och loggning

Full spårbarhet är avgörande för både internkontroll och extern tillsyn. Edith Care loggar all åtkomst till personuppgifter:

Skydd av loggarna

Loggarna innehåller aldrig personuppgifter om klienter – endast metadata och ID-nummer. Detta säkerställer att loggarna själva inte blir en känslig datakälla, samtidigt som full spårbarhet upprätthålls.

Systematisk uppföljning av loggar sker för att upptäcka och utreda eventuell obehörig åtkomst. Automatiska varningar genereras vid avvikande åtkomstmönster.

04

AI och mänsklig kontroll

Edith Care använder AI för att stödja professionella i deras arbete – aldrig för att ersätta professionell bedömning. Detta är en grundläggande designprincip.

AI som beslutsstöd, inte beslutsfattare

• •AI ger endast förslag och rekommendationer
• •Alla beslut som påverkar enskilda fattas av behörig användare
• •Inget automatiserat beslutsfattande som rör barn – alltid mänsklig bedömning

Transparens och förklarbarhet

När AI ger ett förslag redovisas alltid:

• •Vilka faktorer som ligger till grund för förslaget
• •Konfidensnivå för rekommendationen
• •Begränsningar i AI:ns bedömningsförmåga
• •Att det är användaren som fattar det slutliga beslutet

Information till enskilda (artikel 13.2 f GDPR)

Vid automatiserat beslutsfattande har den enskilde rätt att få meningsfull information. Edith Care stödjer detta genom att tillhandahålla:

• •Förklaring av hur AI-systemet analyserar uppgifterna
• •Information om vilka typer av beslut som kan fattas
• •Beskrivning av möjliga konsekvenser för den enskilde
• •Tydlig information om rätten att begära manuell prövning
• •Möjlighet att lämna synpunkter och bestrida förslag

Särskilda regler för barnärenden

Ärenden som rör barn har särskilt starka krav på mänsklig bedömning:

• •Ärenden där barn ska ges möjlighet att framföra sina åsikter (3 kap. 2 § SoL) kräver alltid kvalificerad bedömning
• •Ärenden som kräver särskild kompetens (25 kap. 1 § SoL) kräver alltid kvalificerad bedömning
• •AI-förslag i barnärenden markeras tydligt för obligatorisk mänsklig granskning
• •Orosanmälningar kan analyseras med AI som beslutsstöd, men beslut att utreda eller inte utreda fattas alltid av handläggare

Säker AI-infrastruktur

Edith Care använder endast AI-tjänster som uppfyller strikta krav på datasäkerhet och integritet:

• •Data skickas aldrig till publika AI-tjänster
• •Kunddata används aldrig för att träna AI-modeller
• •All AI-behandling sker inom svenska datacenter
• •Databehandlingsavtal (DPA) reglerar all AI-användning
• •Prioritering av svenska AI-leverantörer för maximal datasuveränitet

05

Datahantering och gallring

Gallringsfrister

I enlighet med 12 kap. 1 § socialtjänstlagen gallras personakter fem år efter sista anteckningen. Edith Care hanterar detta automatiskt:

• •Automatisk påminnelse när gallringsfrist närmar sig
• •Säker och permanent radering när fristen löpt ut
• •Spårbarhet över genomförda gallringar
• •Möjlighet att förlänga vid pågående ärende eller överklagande

Uppgiftsminimering

Edith Care samlar endast in de uppgifter som är nödvändiga för det aktuella ändamålet. Systemet är utformat för att förhindra onödig insamling av personuppgifter och stödjer användaren i att följa principen om uppgiftsminimering.

06

Infrastruktur och leverantörer

Krav på molnleverantörer

Edith Care ställer strikta krav på alla infrastrukturleverantörer. Samtliga leverantörer måste uppfylla följande minimikrav:

• •Datacenter lokaliserade i Sverige
• •ISO 27001-certifiering (informationssäkerhet)
• •GDPR-efterlevnad och databehandlingsavtal enligt artikel 28
• •Stöd för kryptering vid lagring och överföring
• •Möjlighet till revision och insyn

Nätverkssäkerhet

• •Privata nätverksanslutningar – ingen exponering mot internet
• •Brandväggsskydd på flera nivåer
• •Intrångsdetektering och -skydd
• •Regelbunden säkerhetsskanning och penetrationstestning

Underleverantörer

Alla underleverantörer som behandlar personuppgifter granskas noggrant och genomgår säkerhetsgranskning. Ingen underleverantör får behandla data utanför Sverige/EU utan godkännande och adekvat skyddsnivå.

Teknisk bearbetning hos externa parter (10 kap. 2 a § OSL)

Vid användning av externa AI-tjänster för teknisk bearbetning av uppgifter säkerställer Edith Care att sekretessbestämmelserna följs genom:

• •Bedömning av om utlämnande är olämpligt innan varje integration
• •Tekniska och organisatoriska säkerhetsåtgärder dokumenteras
• •Lagringstid hos leverantör begränsas till vad som är nödvändigt
• •Tystnadsplikt säkerställs genom avtal
• •Behörighetsstyrning och kryptering verifieras
• •Relevanta certifieringar (ISO 27001, SOC 2) krävs av leverantörer

Detaljerad information om aktuella leverantörer och teknisk infrastruktur tillhandahålls på begäran.

07

Incidenthantering

Vid en eventuell säkerhetsincident eller personuppgiftsincident följer Edith Care etablerade rutiner enligt GDPR:

08

Regulatorisk efterlevnad

Utöver de grundläggande regelverken följer Edith Care utvecklingen av nya europeiska och svenska regelverk.

NIS2 och Cybersäkerhetslagen

Den svenska cybersäkerhetslagen, som implementerar EU:s NIS2-direktiv, trädde i kraft den 15 januari 2026. Lagen omfattar kommuner och regioner som tillhandahållare av samhällsviktiga tjänster. Edith Care stödjer kommunernas efterlevnad genom:

• •Robust incidenthantering med förmåga att rapportera säkerhetsincidenter inom 24 timmar
• •Systematiskt säkerhetsarbete med dokumenterade riskbedömningar och åtgärder
• •Säkerhet i leverantörskedjan – alla underleverantörer genomgår säkerhetsgranskning
• •Kontinuitetsstöd för kommunernas egna tillsynsrapportering

EU:s dataförordning (Data Act)

EU:s dataförordning ställer krav på dataportabilitet och underlättar byte mellan molntjänster. Edith Care uppfyller dessa krav genom:

• •Fullständig dataportabilitet – kunder kan när som helst exportera sina uppgifter i standardformat
• •Stöd för byte av tjänsteleverantör utan tekniska hinder
• •Inga avgifter för byte av leverantör efter 2027 (i enlighet med förordningen)
• •Dokumenterade API:er och dataformat för export
• •Assistans vid migrering till annan leverantör

Tillgänglighet (DOS-lagen och EAA)

Edith Care följer kraven på digital tillgänglighet enligt lagen om tillgänglighet till digital offentlig service (DOS-lagen) och EU:s tillgänglighetsdirektiv (European Accessibility Act). Detta säkerställs genom:

• •WCAG 2.1 nivå AA – webbinnehållet uppfyller internationella tillgänglighetsstandarder
• •EN 301 549 – överensstämmelse med den europeiska standarden för digital tillgänglighet
• •Tillgänglighetsredogörelse tillgänglig på begäran
• •Regelbunden tillgänglighetsgranskning av externa experter
• •Kontinuerlig förbättring baserat på användarfeedback

Produktansvarsförordningen

EU:s uppdaterade produktansvarsregler omfattar nu även programvara och AI-system. Edith Care hanterar detta ansvar genom:

• •Human-in-the-loop-design – AI fattar aldrig beslut utan mänsklig granskning
• •Omfattande dokumentation av systemets funktion och begränsningar
• •Tydlig ansvarsfördelning mellan Edith Care och kundorganisationen
• •Kontinuerlig övervakning och uppdatering av AI-systemet
• •Försäkringsskydd för eventuella produktansvarskrav

eIDAS 2.0 och svenska e-legitimationer

EU:s uppdaterade förordning om elektronisk identifiering (eIDAS 2.0) introducerar den europeiska digitala identitetsplånboken (EUDI Wallet). Edith Care följer utvecklingen och förbereder sig genom:

• •Aktiv bevakning av Diggs arbete med svenska EUDI Wallet
• •Arkitektur som stödjer integration med framtida identitetslösningar
• •Planerad integration när standarden blir tillgänglig
• •Fortsatt stöd för befintliga svenska e-legitimationer (BankID, Freja eID)

09

Kontaktinformation

För frågor om informationssäkerhet och dataskydd, kontakta: