Kommer informationssäkerheten i vården att bli bättre nu?

2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin  föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14. Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna inspektioner visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset. Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften. Föreskriften har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.

I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas. Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.

En föreskrift är en reglering på detaljerad nivå. När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras. En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla Vision e-hälsa 2025  som en ny version av den tidigare Nationella e-hälsostrategin. Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former. Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt.   Även e-hälsokommittén på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till. Undertexten är påfallande ofta att informationssäkerhet alternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s. att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård. Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet. Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.

Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna. Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för sin egen verksamhet och det är naturligtvis en viktig grundprincip. Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner. Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera. Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren. Å  ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information. Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.

Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan. Visionen för e-hälsa 2015 sägs vara:

År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården. Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.

Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket. Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner. En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet. Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.

 

 

Kommer integritet äntligen att bli en het fråga i vården?

Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande http://www.voister.se/artikel/2016/08/nu-kliver-landstingen-in-i-framtiden/. Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället. Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem. Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt. Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen. Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel. Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.

För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande. Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt? Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna. Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning  ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.  Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.

Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.

Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex. IVO och tidigare Socialstyrelsen. Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet  inom samma myndighet som dessutom hade vården i sin helhet som uppdrag. Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården. Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas  icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.  Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.

Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet. Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.

Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet. Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet. Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.

Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen https://yourlogicalfallacyis.com/. Särskilt populära har i min anekdotiska erfarenhet varit:

  • Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
  • Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
  • Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
  • Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
  • Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga. Att de representerar särintressen har inte alltid framkommit.
  • Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts. Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.

Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det. Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf. I beslutet om upphandlingsunderlag står det:

Kärnsystemet ska stödja följande

  • skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet
  • etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system
  • ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting
  • ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård
  • ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd
  • ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt
  • ge verktyg för forskning, utveckling och utbildning
  • ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Inte så mycket om integritet alltså. Frågan i rubriken får vara obesvarad ett tag till.

Kontinuitetshanteringens hårda verklighet

It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga. Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem. Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge. Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.

I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter. Planerna är övade, samordnade och ständigt förbättrade. Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.

I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner. Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där. Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter,  som sjukvården. Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant studie av läkemedelshanteringen i Västra Götalandsregionen.

Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.

Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge. Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar. Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer. Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera. En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.

Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig. Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra. En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag. Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.

I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna. I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats. Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer. Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort. Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter. Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.

Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta. Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen. Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner. Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt. Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.

Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå. Nedan följer några tips som ändå kan underlätta arbetet.

  • Prioritera verksamhetsprocesser. Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar. Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
  • Kartlägg beroenden. Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen. Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
  • Håll planeringen så enkel som möjligt. Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge. Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta. Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
  • Se till att ledningen är beslutsför. Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
  • Förbered för kommunikation. God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
  • Öva, öva,öva! Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller. Mycket nyttigt både för planen, den informationssäkerhetsansvarige och verksamheten.