It i vården – mer brädhög än finsnickrat

Många vill nu säkert att vi snabbt ska glömma 1177-skandalen. Tvärtom är det mycket viktigt att vi inte fortsätter att låta varje informationssäkerhetshaveri i vården snabbt falla i glömska, utan att vi försöker göra något åt de problem som leder till de ständiga haverierna.

Grundproblemet ligger i att vård-it under 30 år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög, där olika aktörer kunnat lägga på sin egen bräda utan fungerande styrning.

Trots de enorma resurser som lagts på vård-it har varken effektivitet eller elementär säkerhet kunnat uppnås. Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten, vilket framgår i fallet med 1177. De flesta skulle sannolikt säga att det största ansvaret – som definieras i hälso- och sjukvårdslagen – ligger hos sjukvårdshuvudmännen, det vill säga regionerna, som i sin tur har fått ansvaret delegerat till sig genom den svenska förvaltningsmodellen.

När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen/regionerna också utförde den absoluta merparten av vården. Då var journalerna allmänna handlingar som tillhörde landstinget, och det ställdes även krav på hanteringen. Men med kommunalisering och privatisering blev ansvaret oklart. Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot allt fler samarbeten mellan landsting, som exempelvis Sjunet och de nationella tjänsterna. Här har inte juridiken hängt med. Det juridiska ansvaret läggs nämligen främst på vårdgivaren.

Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp. Denna har också ansvaret för informationssäkerheten, vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens informationshantering.

Problemet är bara att inte ens den mest säkerhetsmedvetna vårdgivaren kan hålla sig för sig själv, utan måste fungera i brädhögen av oklara ansvar eftersom man bland annat måste använda nationella tjänster. I och med detta faller även de många goda råd som säkerhetsexperter av olika dignitet framfört om att säkerheten kan skapas genom att ha tydliga upphandlingsrutiner och följa upp krav platt.

Vi måste inse att den digitala världen inte bygger på bilaterala relationer utan på multi­laterala, och att vi saknar verktyg att hantera den nya situationen. Även tillsynsvapnet blir tandlöst eftersom tillsynen gäller enskilda organisationer. Ansvaret är i dag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen. Att skapa ansvarsförhållanden och möjligheter till ansvarsutkrävande avpassade för multilaterala infrastrukturer är den mest fundamentala säkerhetsåtgärden för vård-it.

Den bristande samordningen kan också ses som ett resultat av SKL:s arbete som lobbyorganisation. SKL är en intresseorganisation för regioner och kommuner som med stor frenesi hävdar det kommunala självstyret inom hälso- och sjukvård. Försök till styrning från staten nagelfars.

Min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte har möjlighet till en effektiv myndighetsstyrning, vilket lämnat fältet än mer fritt för SKL. Hur SKL resonerar är svårt att få insyn i eftersom SKL inte lyder under offentlighetsprincipen. Vad som kan konstateras är att SKL, trots hävdandet av självstyret, inte har tagit fram något fungerande regelverk för att hantera den multilaterala ansvarssituationen inom vården.

Vi har i princip outtömliga tekniska möjligheter som aggressivt marknadsförs av leverantörer. Tekniken möter en omogen organisationsstruktur där verklig styrning har ersatts av fritt spelrum för särintressen. Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården. Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer, vilket inte är tillämpligt i multilaterala arkitektur.

Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt, utan förändringar av en helt annan dimension som är nödvändiga. Det är inte beställningar mellan kund och leverantör som är problemet, utan beställningen från regeringen till sjukvårdshuvudmännen där sjukvårdshuvudmännen inte klarar av att skapa en säker vård-it.

För att komma vidare och använda erfarenheterna från 1177-skandalen på ett konstruktivt sätt har jag följande förslag för att vi på sikt ska kunna få en fungerande vård-it:

￭ Inför ett moratorium inom vård-it, och inför inte några nya lösningar som inte är absolut nödvändiga. 
￭ Gör en heltäckande genomgång av säkerhetsbristerna inom vård-it och skapa enighet om läget.
￭ Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän och vårdgivare när det gäller vårdens informationshantering. Detta bör även gälla myndigheter som främst ska leverera e-tjänster, som E-hälsomyndigheten.
￭ Utred hur ansvarsförhållandena för informationshanteringen bör se ut. En central fråga är det reella ansvarsutkrävandet.
￭ Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
￭ Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
￭ Ta fram en gemensam styrmodell för informationssäkerhet i vården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare.
￭ Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
￭ Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
￭ Utveckla utbildningar i informationssäkerheten för vården. 
￭ Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

Sammantaget behövs ett paradigmskifte där vi efter decennier av digitalisering av vården måste sluta att se digitaliseringen som ett värde i sig. Fortfarande utgör e-hälsa en bubbla där digitalisering per definition är bra, vilket leder till den underförstådda tesen att all digitalisering är bra.

Detta befästs av en icke-existerande uppföljning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas. Ett exempel på detta är den nya uppföljningsrapporten av e-hälsa från arbetsgruppen för regeringens och SKL:s ”Vision e-hälsa 2025”, där läget framställs som positivt för att digitaliseringen har ökat – utan några kopplingar till hur detta påverkat hälsa eller ekonomi.

Styrningen och uppföljningen av digita­liseringen måste förbindas med det enda egentligen intressanta, nämligen att den förbättrar vårdens förmåga att lindra, bota och befrämja hälsa inom de ekonomiska ramar som finns. Vi måste helt enkelt börja se digitalisering som ett medel, inte ett mål i sig.

Fia Ewald, informationssäkerhetsexpert, tidigare chef för MSB:s enhet för systematisk informationssäkerhet