Regionpolitikerna svävar på digitaliseringsmoln

Dagen före midsommarafton släppte Region Stockholm en 14 sidor tunn extern granskningsrapport angående 1177-skandalen. Formatet på rapporten är helt otillräckligt i förhållande till vad som inträffat, men kan ändå användas som en termometer för att bedöma hur illa det står till med informationssäkerheten i den svenska vården.

Vad rapporten visar är att Region Stockholm som är Sveriges största sjukvårdshuvudman har mycket stora brister i sin styrning av informationssäkerhet och är oförmögen att ställa basala krav på säkerhet i upphandlingen av en central underleverantör som Medhelp. Det finns ingen anledning att tro att det fungerar bättre i övriga regioner.

Dålig säkerhet äventyrar den personliga integriteten, men reducerar även allvarligt vårdens förmåga att upprätthålla patientsäkerhet, tillgänglighet vid större störningar och personalens rättssäkerhet. Utan säkerhet förlorar vården omvärldens förtroende.

Ansvariga vid Region Stockholm lovar nu förbättringar av säkerheten. Det är lätt att bli cynisk efter det iterativa förloppet; incident – försäkran om förbättringar – ny incident som visar att det är precis lika illa som tidigare. Den handlingsplan som det hänvisas till i pressmeddelandet från regionen är intressant nog den samma som beslutats 2018 och som inte ändrats efter 1177-skandalen.

Den avspända hållningen till integritet och säkerhet i vården går igen om man snabbt rullar igenom programmet på årets Almedalsvecka. Events rörande digitalisering och e-hälsa saknas inte, däremot lyser informationssäkerhet med sin frånvaro bortsett från något enstaka undantag.

Den utredning som nu lobbats fram för att ”se över lagstiftningen” för informationshanteringen är ytterligare ett tecken på hur sjukvårdshuvudmännen värderar integriteten eftersom syftet främst är att ytterligare underminera möjligheten att begränsa tillgången till journalerna.

Ledande företrädare för vården saknar antingen sjukdomsinsikt eller är helt ointresserade av det alarmerande läget som 1177-rapporten beskriver. I stället för att skapa en fungerande säkerhet för den pågående vården inleder de hellre nya högriskprojekt genom att samla och ge tillgång till hälsodata för nya ändamål.

Medan regionpolitiker svävar omkring på digitaliseringsmoln samtidigt som de lever kvar 1990-talets informationssäkerhet måste vi andra inse allvaret. Min bedömning är att läget i sjukvården utgör en betydande risk på samhällsnivå. Därför bör en nationell och djupgående analys av den faktiska säkerheten i den svenska vården genomföras.

För att kunna förbättra måste man ha en tydlig bild av nuläget. Att IVO som tillsynsmyndighet för NIS-direktivet skulle klara en sådan enorm uppgift är inte realistiskt. Det är snarare ett gemensamt projekt för flera myndigheter analysera, men även att ta fram prioriteringar och förslag på akuta åtgärder. Därefter måste ett åtgärdspaket med regler, metoder, säkerhetsarkitektur, uppföljning och kultur tas fram som blir långsiktigt styrande för hela vården. Detta är även nödvändigt för att kunna leva upp till de nya krav som ställs på sjukvården i det civila försvaret.

Till detta måste läggas en mycket stark statlig styrning för att gemensamt förbättra säkerheten där regionerna får rätta in sig i ledet. Kanske måste vi inse att dagens regioner inte är det optimala sättet att organisera den offentliga vården, när de inte lyckas skapa de grundläggande förutsättningarna för god och säker vård som även respekterar den personliga integriteten.

Fia Ewald, informationssäkerhetsexpert, tidigare chef för MSB:s enhet för systematisk informationssäkerhet