Omsio.
    Logga in
    Tillbaka

    Säkerhet i Omsio - så skyddar vi känsliga personuppgifter i familjehemsvården

    Produktuppdatering25 maj 2026
    Ett rödmålat trädgårdsstaket med ett kraftigt järnhandtag i mjukt svenskt dagsljus

    Familjehemsvården hanterar några av de mest känsliga personuppgifterna i hela socialtjänsten. Barnens journaler, hälsoinformation, familjehemsutredningar och kontaktloggar - allt klassas som känsliga personuppgifter enligt GDPR och kräver ett skydd som går längre än vad generella verktyg erbjuder.

    Ändå visar IVO:s granskningar att brister i dokumentation och åtkomstkontroll är bland de vanligaste problemen i familjehemsvården. I en granskning av 26 socialnämnder fann IVO att nästan samtliga hade brister kopplade till dokumentation och delaktighet. Och med Socialstyrelsens nya föreskrifter HSLF-FS 2025:58, som skärper kraven på behörighetsstyrning, spårbarhet och riskbedömningar, ökar pressen på verksamheter att ha system som faktiskt lever upp till regelverket.

    Den här artikeln beskriver hur Omsio är byggt för att möta de kraven - inte som ett tillägg i efterhand, utan som en grundläggande del av plattformens arkitektur.

    Stark autentisering - inte bara ett lösenord

    Det första försvarslagret i alla digitala system är inloggningen. I familjehemsvården, där en obehörig inloggning kan exponera ett barns hela historia, räcker det inte med användarnamn och lösenord.

    Omsio stödjer flerfaktorsautentisering (MFA) som standard. Det innebär att varje inloggning kräver en andra verifieringsfaktor utöver lösenordet - typiskt en engångskod via en autentiseringsapp. För verksamheter som redan använder BankID för avtalssignering i Omsio finns möjligheten att använda samma starka identifiering vid inloggning.

    Det här ligger i linje med vad HSLF-FS 2025:58 kräver: att elektronisk åtkomst till känsliga personuppgifter ska skyddas med stark autentisering. Redan idag rekommenderar Socialstyrelsen MFA för alla system som hanterar personuppgifter inom vård och omsorg. Omsio uppfyller det kravet från dag ett.

    Behörighetsstyrning - rätt person ser rätt information

    En av de vanligaste bristerna IVO pekar ut handlar om att personal har tillgång till mer information än vad deras arbetsuppgifter kräver. Det är inte nödvändigtvis illvilligt - det beror oftast på att systemen saknar tillräckligt detaljerad åtkomstkontroll.

    I Omsio är behörighetsstyrningen finmaskig och rollbaserad. Varje användare har en definierad roll - föreståndare, konsulent, familjehem - och ser enbart den information som är relevant för just den rollen. En familjehemskonsulent ser sina egna ärenden, inte kollegans. En familjehemsförälder ser kommunikation och dokument som rör det egna uppdraget, men inte andra placeringar.

    Den här modellen bygger på principen om ändamålsbegränsning - en av GDPR:s grundpelare och ett krav som HSLF-FS 2025:58 förstärker genom att kräva dokumenterade behovs- och riskbedömningar innan behörigheter tilldelas.

    Konkret innebär det att verksamhetschefen i Omsio kan styra exakt vilka moduler och vilken information varje medarbetare har åtkomst till. Behörigheter kan justeras när roller förändras, och ändringar loggas automatiskt.

    Kryptering - data skyddas i vila och under överföring

    Kryptering är en av de mest grundläggande säkerhetsåtgärderna, men den måste implementeras konsekvent för att göra skillnad. I Omsio krypteras data i två lager:

    • Under överföring (in transit): All kommunikation mellan användarens webbläsare och Omsios servrar sker via TLS 1.2 eller högre. Det gäller oavsett om användaren laddar upp ett dokument, skriver i journalen eller skickar ett meddelande.

    • I vila (at rest): Data som lagras - journalanteckningar, dokument, kontaktloggar - krypteras på servernivå med AES-256. Det innebär att även om någon skulle få fysisk tillgång till lagringsmedia, förblir informationen oläsbar utan rätt nycklar.

    TLS 1.2+ är redan ett explicit krav i de nya föreskrifterna för hälso- och sjukvården, och samma standard gäller för socialtjänsten när HSLF-FS 2025:58 träder i kraft fullt ut. Omsio tillämpar den standarden redan nu.

    Spårbarhet - varje åtkomst loggas

    Spårbarhet handlar inte bara om att kunna svara på frågor vid en tillsyn. Det handlar om att skapa en kultur där varje åtgärd i systemet är transparent och verifierbar.

    I Omsio loggas alla väsentliga händelser i en revisionsspårning (audit log):

    • Vem loggade in, när, och från vilken enhet
    • Vilka journalanteckningar öppnades eller redigerades
    • Vilka dokument laddades upp eller laddades ned
    • Vilka behörigheter ändrades

    Loggarna är skrivskyddade - de kan inte ändras eller raderas av användare, inte ens av verksamhetens administratör. Det är en medveten designbeslut som säkerställer att spårningen alltid är tillförlitlig.

    Vid en IVO-tillsyn, en Lex Sarah-utredning eller en intern kvalitetsgranskning kan verksamheten snabbt ta fram en komplett bild av vem som har gjort vad och när. Det sparar tid och skapar trygghet - både för medarbetarna och för de barn och familjer vars uppgifter hanteras.

    Dataisolering - varje verksamhet är en egen enhet

    I system som hanterar flera verksamheter finns alltid risken för dataläckage mellan organisationer. Det kan ske genom en felkonfigurerad sökfunktion, en delad databas utan tillräcklig avgränsning, eller helt enkelt genom att en användare byter roll utan att sessionen uppdateras.

    Omsio löser det genom strikt dataisolering på databasnivå. Varje verksamhet är en logiskt separerad enhet. Data från en verksamhet kan aldrig nås av en annan, oavsett vilken roll användaren har. Det finns ingen global sökfunktion som korsar verksamhetsgränser, och inga delade tabeller för känsliga uppgifter.

    Det innebär att en konsulentverksamhet med flera uppdragsgivare kan vara trygg i att kommunernas data aldrig blandas - ett krav som många upphandlande kommuner ställer explicit i sina ramavtal.

    Vad de nya föreskrifterna kräver - och vad det betyder i praktiken

    HSLF-FS 2025:58 börjar gälla stegvis. För hälso- och sjukvården gäller reglerna sedan februari 2026. För socialtjänsten är den fulla ikraftträdandedagen satt till maj 2028. Men kraven speglar redan gällande GDPR-principer, och IVO granskar dokumentation och åtkomstkontroll redan idag.

    De centrala kraven i föreskriften:

    • Dokumenterade behovs- och riskbedömningar innan behörigheter tilldelas
    • Stark autentisering för elektronisk åtkomst till känsliga personuppgifter
    • Full spårbarhet i API:er och integrationer
    • Rutiner för att informera de registrerade om hur deras uppgifter behandlas

    För verksamheter som redan använder ett modernt system byggt med de här principerna innebär föreskriften ingen revolution - snarare en bekräftelse. För verksamheter som fortfarande förlitar sig på kalkylark, delade mappar eller äldre system utan åtkomstkontroll blir omställningen mer krävande.

    Säkerhet är inte en funktion - det är fundamentet

    Det går inte att bygga säkerhet i efterhand. Ett system som inte designades med känsliga personuppgifter i åtanke kan inte lappas till att bli säkert genom att lägga till en inloggningssida eller aktivera kryptering. Säkerhet måste genomsyra hela arkitekturen - från hur data lagras och överförs, till hur behörigheter tilldelas och hur varje åtgärd spåras.

    Omsio är byggt utifrån den principen. Inte för att det är ett marknadsmässigt argument, utan för att familjehemsvården förtjänar system som tar lika stort ansvar för barnens integritet som verksamheterna själva gör.

    Vill ni se hur Omsio hanterar säkerhet och dataskydd i praktiken? Läs mer på vår säkerhetssida eller boka en genomgång med oss.