Arkivutredningen: Härifrån till hit eller det är många ”skall” som blivit ”ska”

Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ”Härifrån till evigheten” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver. Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.

Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning. Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag. Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land). Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.

Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor. Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”. Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet). När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft. En mer rimlig utredningstitel hade varit ”Härifrån till hit”.

En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat. I dagens arkivlag står:

Myndigheternas arkiv är en del av det nationella kulturarvet.

Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser
1. rätten att ta del av allmänna handlingar,
2. behovet av information för rättskipningen och förvaltningen, och
3. forskningens behov.

I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet. Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen. För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne  behandlas inte alls. Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses. Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp. Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram. De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor. Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!

Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande. Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer. Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa. Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt. Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar. Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den. I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad. Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen. Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt. Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen? Även här tror jag kulturarvskulturen (!) spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen. Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.

Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt. Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar. Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar. En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen. När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.

Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen. Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin. Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.

Ofta blir utredningar fångar i sitt uppdrag. Orsakerna till detta kan vara flera. En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra. Jag kan inte se att detta gäller arkivutredningen. Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång:

En särskild utredare ska göra en bred översyn av arkivområdet. Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.

•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner,

•se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området,

•analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning,

•analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och

•analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet

•lämna nödvändiga författningsförslag.

Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden. Smaka på det syftet. Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.

Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer. Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt. En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att ägna sig mer åt metodutveckling och effektiv rådgivning. Riksarkivet vill t.ex. kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet. Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.

Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex. i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något. Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen:

Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya. Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.

Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt:

Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.

Jag delar helt den uppfattningen. Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller. För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.

Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG. Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet respektive DIGG ska förhålla sig till varandra. Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de rimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll. DIGG ska å sin sida föreslås fortsätta:

samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet

FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering. Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering. Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering. Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.

Häri ligger av de andra stora konflikterna inom arkivområdet. Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas? Eller ska arkivarierna t.o.m. vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet? Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen kallades för ”kontors-ADB” som är något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet. Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt. Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling. Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt). Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).

För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet. Ordet ”informationssäkerhet” nämns nio (9!) gånger i hela utredningen och då bara en passant. Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten. Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare. Samma sak gäller dataskydd.

Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden? I detta sammanfaller alla de brister som jag tidigare pekat på. Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering.Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”? Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den. Som att det inte finns en antydan på förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas. Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande. Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt. Att även Härifrån till evigheten är som en kompass utan visare ska kanske därför inte dömas för hårt. Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt. Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden. Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

 

 

 

Gott nytt år med Zuboff!

Det har varit ett bra år för mig på många sätt. Företaget går bra och därför har jag donerat pengar till 15 av UNHCR:s Vinterhjälpspaket samt 15 000 kronor till Tankesmedjan Balans.

Jag har även lyckats hålla min miljöpolicy och inte genomfört några tjänsteresor med flyg i år heller.

Här kommer ytterligare ett försök att förbättra samhället en aning – en ny utlottning av böcker. Denna gång deltar den som gillar min sida  på Facebook i utlottningen av 3 ex av Shoshana Zuboffs helt epokgörande bok om övervakningskapitalismen. Skicka ett direktmeddelande före den 10 januari om att du vill vara med i utlottning – det tolkar jag som att du gått med på min hantering av dina personuppgifter.

Hoppas ingen misstycker till att jag skickar ett ex utom tävlan till Daniel Forslund, den kanske mest centrala makthavaren då det gäller utlämnandet av patientuppgifter till aktörer utanför sjukvården. Kanske har han missat perspektivet ”övervakningskapitalism” trots att ordet övervakningsekonomi finns med i 2019 års nyordslista – detta vill jag naturligtvis gärna bidra till att avhjälpa!

En julklapp till SKR

Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR. Jag inledde med ett debattinlägg i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.

De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte. Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.

En resonerande inställning där olika argument prövas är dock inget som intresserar SKR. Istället skickades föreningens VD för att ge ett dräpande svar. Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex. här och här och här) reagerade på SKR:s  icke-svar och den attityd varmed det förmedlades. Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för ”att att driva organisationens förnyelsearbete vidare.” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs. Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.

I min slutreplik försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha. Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge stöd för att utveckla demokratin kommuner och regioner. Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.

För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket. Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten. Kommuners  existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s. de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område. Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt). Även i detta perspektiv är SKR något av en paradox. Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.

Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information. Det gäller öppenheten där t.ex. stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog. Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL. Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR. Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras? Jag läser också om SKR:s statistikverksamhet där det inte står ett ord om statistiksekretess. Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna. Vilken information i dessa frågor är möjlig att lämna till SKR? Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut. Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s. att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga. Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR. När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.

Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden. Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen. Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!

Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha. Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering. Det gör att det i finns mycket litet av lagstiftning som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.  Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i kommunallagen 9 kap.  På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna. Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat  och kommuner. I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över? Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.

Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem. Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.

Dags för SKR att inte bara byta namn

Ibland är man tvungen att återvända till gamla jaktmarker. Där är jag nu. Efter en sensommar och höst då  jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan. Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen. Sedan kom barn och livet emellan så det blev aldrig mer än en ambition. Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.

Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla). Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR. Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter. Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR. VP19 för layout

Alltså c.a. 20 kronor per medborgare och år enligt SKR själva. Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.

Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m.. I OSL 2 kap står det följande:

3 §   Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.

Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans
1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen,
2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller
3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.

Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.

Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.

Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.

För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex. att kommuner/regioner utövar ett rättsligt bestämmande inflytande. Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det. Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter. I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte. Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.

Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter debaclet i Svenska Akademien. Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna. Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR. Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR. Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.

Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess. Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet. Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR. Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.

Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning. Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.

Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet. Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande. Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan). Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.

Den opaka e-hälsan eller what are they building in there?

Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet. Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen. I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.

Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas. Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill. Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.

Sjukvård rankas som den viktigaste frågan av väljarna. I Sverige är sjukvården offentligt finansierad. Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet. Tyvärr är inte så fallet när det gäller e-hälsa. Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs. Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.

Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL. Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det. Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner. Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med. Bristen på insyn blir mycket påtaglig när man ser på den beredning för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner. Det är alltså ett indirekt valt politiskt organ. Uppdraget är stort och spännande för den som är intresserad av e-hälsa:

Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.

Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning. I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.

Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande insats angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster. Detta trots att SKL själva uppger följande i sin rapport:

Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.

Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades. Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium):

Jag skulle vilja  veta:

– vilka handlingar som finns relaterade till Beredningen för digitalisering

– vilka av dessa handlingar som jag kan få ta del av

fick jag följande, kanske väntade svar:

Hej!

Tack för att du kontaktar oss.

SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen. Vi kan därmed inte hjälpa dig med din förfrågan.

Du kan läsa mer om SKL och vår organisation på vår webbplats.

Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat. Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?

Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande. När jag läser programmet till den Nationella e-hälsodagen 2019 med underrubriken

En dag. En vision. Oändliga möjligheter.

känner jag en lätt yrsel. Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas. Nu senast var det Region Skånes upphandling av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet:

I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp. Riskanalysverktyget anses dessutom vara svårt att hantera.

Organisationskulturen i sig finns också med bland de identifierade bristerna. Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.

Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”. I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.

Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd. Min fråga:

Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?

besvarades med att den sannolikt var ett internt arbetsmaterial.

Det mest deprimerande i detta är att upprepningstvånget. Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat Finland och Danmark med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort. Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia. Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!

Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ. För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.

Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex. konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt. Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta. Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna. Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter. För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.

 

 

 

Inera tredje gången gillt

Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti. Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.

Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet. Detta dokument tycks ha ganska litet att göra med den policy som beslutades i juni och där informationssäkerhetsarbetets övergripande syfte anges vara att

främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.

De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om  patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.  Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”. Gemensamma för vem och framtagna av vem kan man undra. Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas. Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument. Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar. Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.

Riktlinje för informationssäkerhet Inera

En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation. Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken). Detta var också första gången på tre och ett halvt år som en uppdatering skedde.

Nog om detta lustiga sammanträffande. Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn. Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras. Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren:

För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd. För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.

Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för. För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster. Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven. Samtidigt skriver man t.ex. under 15.3.1. om en informationsägare som sannolikt är kunden.  Roller och begrepp är alltså inte konsistenta.

Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2. Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå. Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar. I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer. Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer. Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet. Igenkänningsfaktorn är hög. Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt. Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.

Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till  OSL 18 kap. 8 §:

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser

  1. byggnader eller andra anläggningar, lokaler eller inventarier,

  2. tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen,

  3. telekommunikation eller system för automatiserad behandling av information,

  4. behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling,

  5. den civila luftfarten eller den civila sjöfarten,

  6. transporter på land av farligt gods, eller

  7. hamnskydd.

kändes märkligt. Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds. På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer. Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering. Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt. Även detta är att starkt skäl att se över regelverket och styrningen i stort.

Om vi sedan tittar på de två övriga dokument jag fått ta del av:

Anvisning för informationsklassificering Inera
Anvisning för informations- och IT-säkerhet för medarbetare inom Inera

så går maskningarna i dessa sammantaget att räkna på ena handens fingrar. Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem. Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.

Min sammantagna bild är att Inera saknar ett sammanhängande systematiskt informationssäkerhetsarbete och att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet. Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt. Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.

Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital kommunikation. Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet? Finns det en risk att detta projekt hamnar i samma situation som den utredning om säker it-drift som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)? Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.

Möjligen har jag helt fel. Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av. Men samtidigt är det svårt att föreställa sig ett systematiskt informationssäkerhetsarbete där det inte finns en tydlig dokumenterad styrning. Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns. Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen. I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.

 

 

 

Kammarrätten har fällt sitt utslag

Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet här. Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt. Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut. För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt. Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.

Kammarrättens beslut

 

Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar. Samtidigt väcker ju historien med Inera en hel del tankar. En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer. Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort. Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.

Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt. Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.

En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär. Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk. Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.

Prick-till-prick-teckning på samhällsnivå

Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love. Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil. Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv. Redan tidigt i boken finns följande passus:

Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd. Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till. Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.

Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv. Så är det ju ofta med god litteratur, den lever vidare inom en. Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband. Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.

Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig förvaltning . Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte. Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område. Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten:

Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF). Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.

Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.

Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur. Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt. Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt. Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.

Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet. MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit här) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter. Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail:MSB 2019-09569-1 Kommentarer på slutrapport Uppdrag om säkert och effektivt informationsutbyte

Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt. Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning. Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.

Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning. I detta dystra scenario är det inspirerande att snegla österut. I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning. I propositionen som låg till grund för lagen ges inriktningen:

Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn. Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet. Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen. Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem. Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt. Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.

Lagen träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet. I dagarna har även en ny cyberstrategi antagits.

För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar. I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen. De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete. På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.

Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.

 

 

 

Integritet, äganderätt och digital valfrihet

Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den. Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.

När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror. Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om här. Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.

Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer. Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva. Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex. för att ge oss rätt vård. Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling. En snabb och hårdragen exposé skulle kunna se ut som följer. I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid. Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.

Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten. Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård. Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem. Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv. Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta  erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.

Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället. Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården. Om vi tar det aktuella exemplet Region Stockholms Centrum för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet. Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare. Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller oljan   kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.  Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.

Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där sjukvårdspolitiker inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna. En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster. Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras. Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården. I ovan refererade debattartikel  förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning? Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten. När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser. Nu ska man sälja hälsodata till ”självkostnadspris”. Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?

Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation. Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen. Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten. Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras. Exempelvis kryssa i ett formulär med alternativ som

Mina patientuppgifter får användas:

  • endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering
  • utöver ovanstående även akademisk forskning där resultaten kommer samhället till del
  • utöver ovanstående även akademiskt forskning i kommersiell regi
  • för kommersiellt bruk oavsett bransch

Till detta kan läggas verklig anonymisering som alternativ på samtliga val. Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.

Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det. Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan ifrågasättas.  En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran. Tanken svindlar för vilka möjligheter som skulle kunna öppnas. Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.

Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.

 

Är öppenhet en risk?

Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården. I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan. Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ett systematiskt informationssäkerhetsarbete i NIS-direktivet. Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.

En naturlig startpunkt är Inera som presenterar sig så här:

Inera ägs av SKL Företag, regioner och kommuner. Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling. Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.

och

Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner. Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen. Vissa tjänster används av invånare, andra av vårdpersonal. Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.

Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.

Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså. Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder. Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård. Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.

Dessutom ska Inera stödja

digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.

Bland annat säger man sig ta fram

regelverk för informationssäkerhet, juridik och kvalitetssäkring.

Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras. När man bedömer en organisations förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete är den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats. Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet. I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk. Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).

Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB. Mitt sammantagna intryck är att det varit motigt att införa ett systematiskt informationssäkerhetsarbetet trots uppdraget Inera och dess föregångare haft.

Men åter till nuläget.

Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti:

Hej!
Jag skulle vilja ta del av:
– Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet
– Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder
Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.

Tack på förhand!

Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot. Sedan dröjde det och dröjde det. Till slut kom ett svar den 22 augusti:

Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.

Ineras informationssäkerhetspolicy återfinns på www.inera.se. Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på www.rivta.se. Beträffande LIS gör Inera följande bedömning:

Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare. Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet. Den senaste mer omfattande informationssäkerhetsrevisionen gjordes den 2 maj 2019.

Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001. Systemet består bl.a. av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m. I systemet ingår vidare modeller för riskhantering, informationsklassificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.

Sekretess gäller enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.

LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen. Handlingarna kan därför inte lämnas ut.

Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.

Med vänlig hälsning

Inera

Detta var ett intressant svar av flera skäl. För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras webbplats så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”. Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör . Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).

Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!

Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post:

Tack för svar! En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?

Till svar fick jag följande:

I Ineras bolagsordningen (från 2017) står följande:

  1. OFFENTLIGHET

Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap. tryckfrihetsförordningen och offentlighets- och sekretesslagen.

Här tätnade mystiken för mig. 2 kap TF och OSL handlar om hanteringen av allmänna handlingar. Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning? En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting. För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut. Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten. Min nästa fråga blev därför:

Tack!

Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?

Och svaret kom pronto:

Ja, det stämmer. Vill du alltså helst få ett formellt beslut?

Självklart vill jag ha ett formellt beslut men på vad? Jag var tvungen att skriva tillbaka för klarläggande:

Hej igen!

För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem. I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta. Exempel kan vara Riktlinje för åtkomst osv. Dokumentnamnet kan inte falla under den sekretess ni hänvisar till. Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.

Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.

När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.

En vecka senare (30 augusti) kom svaret med en bilaga Inera LIS Sammanfattning v 3.2 2019-01-31

Hej Fia,

Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter. Den instans som är aktuell i besvärsfrågor är Kammarrätten.

Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran:

Tack!

Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3. Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade. Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument? Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?

Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen):

  • Riktlinje informationssäkerhet
  • Anvisning för informationsklassicering
  • Anvisning för informations- och it-säkerhet för medarbetare

Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut. Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s. beslut inom tre arbetsdagar.

Trevlig helg!

Idag den 3 september fick jag ett formell avslag med en besvärshänvisning Utlämnande av handling 20190903 (002)
där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess. Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning. Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande SKL Kommentus inköpscentral (SKI). Av rent intresse kommer jaag ändå att skicka in ett besvär.

Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL. Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip. Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod. Eller hur riktlinjer för informationssäkerhet i sin helhet skulle kunna vara känsliga. För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar här) . Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar. Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering. Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt? En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.

Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002. Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.  Dessa frågor återkommer inte heller på anvisningsnivå. Inledningsvis sägs att:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna? Och i relationen med kunderna? När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.

Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden. Men då har jag som sagt inte sett själva dokumenten. Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?

Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat. Varför skulle större sekretess råda hos Inera? Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt. På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.

Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur. Det måste finnas en grundlig kännedom  och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit. Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar. Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering. Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur. Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk. Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka strategiskt men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).

Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på webbplatsen, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten. Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete. Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.