E-arkiv – efter 4 år blev det en tummetott (kanske)

I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv. Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för högt. 

Detta är mycket bekymmersamt. I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras problem. Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.

Sedan detta. Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på. Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden. För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven. Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv. Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad. Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.

Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet. Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande. Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett  stort risktagande.

Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta upphandlingen. Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.

Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer. De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara. Detta förhållande borde blivit känt även för Statens servicecenter. Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.

För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse. Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar? Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?

Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav. Min bedömning är den motsatta. De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför. Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts. Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel. Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande
där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.

Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång. Sammanlagt har sex (6) dialogomgångar hållits.

Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer. Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella. För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad från informationssäkerhetsarbetet. I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser. Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.

I sin skrivelse till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen. Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.

Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag. Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s. omfatta både mellan- och slutarkiv. Detta ingår inte specifikt i den pågående arkivutredningens uppdrag  trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag. Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen. En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer. I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.

Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället. När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan. Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.  I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.

Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!

Hur ska Söpple kommun klara NIS-direktivet?

Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.

Samtliga av ovanstående regleringar ”drabbar” primärkommunerna. En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000. Detsamma gäller för ovan nämnda nya lagar. Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen. För att uppnå  målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna. Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det. Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ. Nu är det alltså litet upp till bevis-läge.

Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.

Först en kort bakgrund. Det s.k. NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018. Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem. Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster. Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen. Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. Däremot gäller den för både offentlig och privat verksamhet.

För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på. För det första ska leverantörerna av samhällsviktiga tjänster bedriva ett systematiskt informationssäkerhetsarbete inklusive riskanalyser och incidenthantering. Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!). Man skulle kunna tycka att det är en ganska självklar del i ett systematiskt informationssäkerhetsarbete men lagstiftaren känner ändå att detta måste påpekas. För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla. Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.

Nog raljerat. Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten. Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten. Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs  En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. 10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.

Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB:Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen. Att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium. Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.  Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.

Missförstå mig rätt. Jag är den första att hävda nödvändigheten av att bedriva ett systematiskt informationssäkerhetsarbete och då särskilt i kommuner och landsting. Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement. Men för att uppnå detta måste man förstå förutsättningarna. Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.

En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag). Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.

Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun. I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt. Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen. Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple. Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet. Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.

Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna. De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen. Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare. För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där. På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s föreskrifter. Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete. Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång. Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra. Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.  Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt. I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga frågor.  Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är tillsynsmyndighet. Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i frågan.

Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.  Jag skickade därför ett mail till MSB. PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse:

Hej!

Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s. den aktuella myndigheten) skickat direkt till kommuner.

Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.

När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss. Detta skedde sista augusti. MSB har deltagit i en träff i nätverket för informationssäkerhet i kommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail. Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan. Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten. I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.

Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen. Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats. Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister. För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation. Att det sedan inte alltid blivit så är en annan fråga.

Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga. Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser. Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer. Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd. Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).

Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m. Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets. Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas. Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.

För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?

Låt oss hoppas det. För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om vad som ska göras till de som ska göra något samt stöd för hur det ska göras, d.v.s. metoder. Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.  Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.  För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten? Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften? Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.

Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS. Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.

 

Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

Är informationsklassning verkligen sååå viktigt?

Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m. ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”. Svaret är ja, det har jag och till och med skrivit på bloggen här .  Sedan dess har det skett en viss uppdatering men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget. Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).

De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa. Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga. Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten:

Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang. Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.  Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna. Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas. Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail. I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.

Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera. Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m. med en statlig verksamhet oavsett omfattning.  Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).  Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.

Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering. Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.

Det fragmentiserade synsättet går igen i de metoder som presenteras. Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten. Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer. I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet. Det är ungefär som att i vägtrafiken låta  varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna. Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag. När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.

I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning. Omättligt krävande som jag är vill jag nu lägga till två ytterligare.

För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.

För det andra ingå i en större helhet av systematiskt informationssäkerhetsarbete – att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande. Särskilt inte om skyddsnivåerna har stora brister. Informationsklassning är helt enkelt inte sååå viktig i sig.

Men inte ens då tror jag att detta är en särskilt bra väg att gå. Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod. Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar. Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning. Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå. Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet. En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet. Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas. Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.

Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional. Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.  Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke. Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ett systematiskt informationssäkerhetsarbete bygger på en samverkande helhet av säkerhetsåtgärder.

 

Från BITS till utopi

Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997. Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter. När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt. Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet. Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.

Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB. I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.  Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor. BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar. OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.

Seklets första årtionde var rörligt när de gällde informationssäkerhet. Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften:

” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av”

vilket ju låter välbekant.

Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet. Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla). Vad var det då som gjorde BITS så populärt? En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till. Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.

Själv har jag varit skeptisk. Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000). Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär. Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov. BITS övergavs också av KBM och sedermera MSB.

Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar. Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system. Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta sina respektive ledningssystem, sina metoder för risk-och kontinuitetshantering och sina skyddsnivåer. Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten. Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, införande av ledningssystem….

Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas. Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskt informationssäkerhetsarbete i kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.

Jag har därför börjat ompröva min tidigare inställning. Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg. Då menar jag inte att en revision av BITS eller en återstart på OffLIS. Snarare att seriöst analysera vilka delar av ett systematiskt informationssäkerhetsarbete som kan standardiseras i olika typer av organisationer.

Ett nytt koncept borde istället vara inriktat på systematisk informationssäkerhet. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster. För enkelhetens skull så kan vi ta kommunerna som exempel. Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.

De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser. Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner. Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter. Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar. För att underlätta för kommunerna skulle följande kunna göras nationellt:

  • Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer. Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex. som stöd för att efterleva NIS-direktivet.
  • Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
  • Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen
  • Identifiera informationen i dessa processer.
  • Ge stöd för att kartlägga vilka bärare som används för att hantera informationen. Observera att det inte enbart gäller system och tjänster utan även andra bärare.
  • Ge förslag på en standardklassning av informationsmängderna.
  • Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.

Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag. Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.

Låter mycket att ta fram nationellt tänker ni kanske. Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar. Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg. Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.

Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras. Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?

E-hälsans landskap 2

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många. Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”. Ganska svårt skulle jag vilja säga vilket även Trump upptäckte.

Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.

För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.). Bilden är ett försök beskriva samspelet. Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer. Två saker är slående.

Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer. Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.

Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig. Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen. Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga. Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen. Riksrevisionen har pekat på detta i en rapport  gällande den generella styrningen på vårdområdet. Inom e-hälsoområdet är problemen med detta mycket tydligt. En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation. Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen. Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar. Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser. Jag skickade även ett mail till SKL:s infoadress den 24 juli:

Hej!

Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen. Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare. Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha? Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering. Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?

Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.

I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta. SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen. Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.

Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt. Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den vision som delas av regeringen och SKL. Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en handlingsplan som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål. Det är långt till verkstaden om man säger så.

Vad leder detta till i praktiken? Ett bra exempel är  hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats. För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge,  se patientjournallagen (SFS 1985: 562).

16 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

E-hälsofrågan i det hela handlar mer om på vilket sätt patienten kan del av journalen. Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”. Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig. Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet. Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att läsa journalen.

Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att alla patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ. Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s. de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer. Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta…  Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium. Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).

För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter. Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.

Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur. Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav. Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.

Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare. Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter. Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet. Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen. Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.

Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården. Även detta är en god illustration av läget.

Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.  Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas. En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut. Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”. Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar. Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde. Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.

Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes. Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det. Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen. Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja. Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts. Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder:

Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet. Ett villkor som satts upp för den sammanhållna journalföringen:

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig. Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till all vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.  Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten? Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare. I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.

Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar. Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst. Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar. När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”. Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.

Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare. På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de:

”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ. Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera. Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.”

Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen. Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter. Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden. Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.

Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet. I ännu högre grad påverkas effektivitet,  patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra uppmärksammat.  

Vad blir då kontentan av allt detta? Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför). Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.  Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart  oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.  Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin. Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.

Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren. Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda. Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt. Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.

Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen):

  • Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
  • Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta
  • En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
  • En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa. I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex. ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
  • SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen. Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter
  • Utred möjligheten att införa en lösning liknande den norska Normen för informationssäkerhet i den svenska vården. Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar. MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
  • Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

Puh! Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan. Säkert har jag missuppfattat eller vantolkat en massa saker. Mitt enda försvar är att jag efter bästa förmåga försökt måla upp en bild av e-hälsa.  Förhoppningsvis kan  dessa långa inlägg stimulera andra att dela sina bild av samma frågor.

E-hälsans landskap

I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen. För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation. I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen. Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.

Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker. Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen. I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.

Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.

Den svenska vården är i huvudsak offentligt finansierad via skattemedel. Det regionala sjukvårdsvårdshuvudmännen ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen. Men landstingen och regioner behöver inte själva vara utförare av all vård utan vårdgivare kan även vara privata. Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag). Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m. riktas mot vårdgivarna och inte sjukvårdshuvudmännen. När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.

Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera. För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer. En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen. Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel. Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske. Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda. Den utredning som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske . Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att alla får den vård de vill ha). I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem. En hårdvinklad beskrivning men ni förstår vad jag menar. Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen. Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.

En annan viktig negativ faktor är SKL:s förändrade roll. SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s. att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare. Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan. Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete. SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.

Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna. Den nära alliansen mellan politiken och e-hälsoföretagen känns inte helt betryggande för det kommande. I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året. Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.

Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s. sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits. Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat. Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet. Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.  I detta delar jag uppfattningen i följande artikel om floden av åsikter.

Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras. Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården. När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus! Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.

Hur kunde man lyckas med denna infrastrukturella revolution? En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar. Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån. I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet. Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här debattartikeln.

I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen. Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården. Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas. Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen. Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet. Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar. Idag är situationen radikalt annorlunda. En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården. Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor. Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.  Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m. läst meningar som att ”regeringen bör SKL i uppdrag …”.

Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör. När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink. Nu finns både eHälsomyndigheten och Inera m.fl. som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen. Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.

En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring. Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid. Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.

I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana. Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?  Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk. Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt. Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation. Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex. För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”. För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.

Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag. Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv. I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar. Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas. Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen. Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang. Det har vi inte råd att låta den fortsätta vara.

Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa. Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden. Och glöm inte forskningen!

E-arkiv och informationssäkerhet del 2

Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1. Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter. Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation. För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.

För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här:

1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar. Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna. Åtgärderna ska dokumenteras i enlighet med 2 §. Strategin ska fortlöpande kompletteras och hållas aktuell.

Allmänna råd. Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.

Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi. Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.

En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar. Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4. Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade. De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna. Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer. Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade. När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt. Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen. Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande. Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.

För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet. Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens. Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information. Dessutom som redan den store Nils Nilsson underströk: de processuella värdena. Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar. Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, Arkivbildarbegreppet och proveniensprincipen under press? (AFS 1997:3 – det går tyvärr inte att länka till den)  som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.  Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om adminstrative bodies och helhet. I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.

Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till? Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader. För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma. För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare. Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den. Med en  processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).

För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.

Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.

Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS. En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi. Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format. Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.  Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till. Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem. Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering är en imponerande ansats men inte heller den ger de svar som behövs.

Från myndigheterna har jag fått in svar där c.a. 50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin. Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”. Ett antal myndigheter skriver också att de håller på att ta fram en strategi.

Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns). Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.

Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering. Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.

De flesta strategier följer, föga förvånande, RA-FS:ens krav. Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”. Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj. Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.

Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar. I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller praktiskt. Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart. Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.

Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar. Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det. Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell. Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster. Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt. Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.

Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur. Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna. Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge. Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.

Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.  Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.  Ur ett forsknings- och kulturarvsperspektiv finns det  dock anledning att vara bekymrad. Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

En vecka efter den 25 maj 2018

Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft. Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst Hälsa för mig . För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.

Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra. En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten. Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig. Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m. Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5  men hela serien rekommenderas naturligtvis!).

Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar. Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera. Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.

Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården. I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker. Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning. Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr. Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.

Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad måste vi göra?” – som för att hitta miniminivån. Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad bör vi göra för att uppnå en god integritet?”. Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav. Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet. Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet eller integritet utan om patientsäkerhet och integritet skulle i så fall falla ut som ett självklart mål.

Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt. Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m. där jag funnits med i utkanten har jag sett den typen av beskrivningar. Det samma gäller för övrigt för e-förvaltning och digitalisering. Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.

Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena. Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen. Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster. I mitt hemlandsting finns denna information som visserligen är korrekt men knappast begriplig för den vanliga patienten.

I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet. Varför skulle inte samma inriktning tillämpas på integritetsfrågan? Jag har därför några förslag som skulle kunna stärka patientens ställning.

Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer. Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå. Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras. Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m. i en planerad utveckling. Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter. Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan. Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet. I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s. där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.

Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal. Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen. Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s. att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är. Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient. Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.

Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan 2010 (här vädras verkligen gamla käpphästar).  Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.  Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten. Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?

Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.

E-arkiv och informationssäkerhet del 1

För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem. Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering. Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken. En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.

För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”. Trots att det både säljs och köps s.k. e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara. Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll. Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras. Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende. Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter. Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden. För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet. Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst. Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivt informationssäkerhetsarbete omge e-arkiven med riskanalyser och informationsklassning m.m. på minst samma nivå som för andra digitala lösningar.

I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar. För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring. Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten. Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna. Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.

Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor:

  1. Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  2. Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?

  3. Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv? Vilken tidshorisont har ni för nyttjandet av tjänsten?

  4. Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  5. Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?

  6. Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?

Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling:

62 kommuner (21 % av samtliga tillfrågade)

8 regioner/landsting (40 %)

86 myndigheter (24 %)

Några noteringar kan göras rörande de svarande. Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora. Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %). Av de myndigheter som ingår i eSam som är

 ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.”

och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten. Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.

Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst. Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar. Här var svarsfrekvensen extremt låg när jag ställde dessa frågor:

  1. Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?

  2. Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?

  3. Kan ni erbjuda tjänsten på olika skyddsnivåer? Är alla typer av information möjlig att hantera i dem?

  4. Vilka krav ställer ni på eventuella underleverantörer?

  5. Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?

  6. Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?

  7. Har ni en utpekad informationssäkerhetsansvarig i er organisation?

  8. Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?

  9. Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?

Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”. Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv. Min slutsats är att leverantörerna:

  1. Inte fått tydligt formulerade säkerhetskrav på sina tjänster

  2. Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.

Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.

I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.