1177 igen

Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?) publicerades dagen för midsommarafton. Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.

Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning:

Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner. Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF. En lista över de personer som intervjuats återfinns i bilaga 2. Granskningen har genomförts under maj-juni 2019.

Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.

Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst. Den sammanfattande bedömningen är dock på allvar oroande:

Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet. I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp. Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.

Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten. Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.

Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning. Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer. Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.

HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp. Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst. Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.

1177-skandalen var trots allt bara en sten som vändes, om än stor. Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten. Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer. Ta till exempel följande iakttagelse från granskarna:

HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS). Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet. I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå. Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet. Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen ska arbeta med informationssäkerhet.

Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning. Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex. bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.

Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer:

Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet. Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls. Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet. Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet. Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019. Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.

Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna. Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar. Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns. Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård. I den kommentar som regionens ansvariga för vård ger upprepar man att man ska införa ett systematiskt informationssäkerhetsarbete men fokuserar i åtgärderna huvudsakligen på underleverantörerna.  Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar:

HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet. Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet. Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal. Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten. Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.

Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån. Det gör att man vare sig kan ha ett internt systematiskt informationssäkerhetsarbete eller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.

Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet. Den stora frågan är varför Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna. Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS? Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation. KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.

En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ett systematiskt informationssäkerhetsarbete kommer att ignoreras. Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.

Tillägg 2019-06-24: Lägger ut rapporten som pdf här:

Granskningsrapport_Informationssäkerhet_190620

Nya Karolinska blev en guldgruva för alla utom patienterna (och skattebetalarna)

Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska. Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning. Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig. Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.

Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven. Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla. Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation. Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.

Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s. personalen. Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt. Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård. Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori. Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen. Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.

Region Stockholm har dock tagit vissa fenomen till en ny nivå. Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi. För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd. Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt. Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma. Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid. Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om här.Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.

För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv. Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya it-lösningar som sedan kraschlandar . Därefter glöm, få andra att glömma och upprepa. Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.

Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av Konsulterna sammanfatta sin teori i ekvationen vårdresultat/kostnad=värde. Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta. Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet. Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.

Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst. Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård. Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast. Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker. Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.

Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar. Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det? Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild)  webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara. Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva The Age of Surveillance Capitalism beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar. Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som här . Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag. Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper. I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.

Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm). Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet. Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna. Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv. Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara. När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).  Eller som Zuboff beskriver det i fallet Google:

That Google had the power to choose secrecy is itself testament to the success of its own claims. This power is a crucial illustration of the difference between “decision rights”and “privacy.” Decision rights confer the power to choose whether to keep something secret or to share it. One can choose the degree of privacy or transparency for each situation. US Supreme Court Justice William O. Douglas articulated this view of privacy in 1967: “Privacy involves the choice of the individual to disclose or to reveal what he believes, what he thinks, what he possesses.

Surveillance capitalism lays claim to these decision rights. The typical complaint is that privacy is eroded, but that is misleading. In the larger societal pattern, privacy is not eroded but redistributed, as decision rights over privacy are claimed for surveillance capital. Instead of people having the rights to decide how and what they will disclose, these rights are concentrated within the domain of surveillance capitalism. Google discovered this necessary element of the new logic of accumulation: it must assert the rights to take the information upon which its success depends.

I denna historiska korsväg utvecklar först Google och därefter bl.a. Facebook sina tjänster. I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende. I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring. Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering. Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att förutse användarnas behov:

Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories. Predictions about our behavior are Google’s products, and they are sold to its actual customers but not to us. We are the means to others’ ends.

Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå. Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier. Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid…

Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det. Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande. Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.

Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare. Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare. Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen. Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen. Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt. De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara. Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok:

Det är en sak som BCG och bolagen de jobbar med främst vill åt. Det är patientdata som är deras bitcoins. Däri ligger den stora affären i värdebaserad vård.

Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag. Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter. Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare. När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på Hälsa för mig .  När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades. Vad var egentligen hönan och vad var ägget i Hälsa för mig?

Den medvetna sammanblandning av offentliga och privata intressen som Zuboff beskriver när det gäller Google:

Fortifications have been erected in four key arenas to protect Google, and eventually other surveillance capitalists, from political interference and critique: (1) the demonstration of Google’s unique capabilities as a source of competitive advantage in electoral politics; (2) a deliberate blurring of public and private interests through relationships and aggressive lobbying activities; (3) a revolving door of personnel who migrated between Google and the Obama administration, united by elective affinities during Google’s crucial growth years of 2009–2016; and (4) Google’s intentional campaign of influence over academic work and the larger cultural conversation so vital to policy formation, public opinion, and political perception. The results of these four arenas of defense contribute to an understanding of how surveillance capitalism’s facts came to stand and why they continue to thrive.

kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården. Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.

Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig. Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s. de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett. Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt. I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.  Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!

Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet. Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat. Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin. Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna. Detta sker i samarbete med – BCG…  Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig. Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”. Ganska långt från dataskyddsförordningens regler är väl ett understatement.  Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet. Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.

Vad kan då göras? Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med. Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden. Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet. DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå. Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.

Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.

Själv fick jag min nya Fitbit igår…

Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av databasen.

Vårt behov av autenticitet

Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade. Förra gången utredningsväsendet, nu behovet av autenticitet. Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK! Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.

Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen. Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet. Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar. Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat. Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet. Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema (Om informationstekniskt bevis av Jonas Ekfeldt). De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 Juridik som stöd för förvaltningens digitalisering där ordet autenticitet finns med två (!) gånger på 562 sidor. Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext. Det enda glädjeämnet är en tio år gammal text av Kenneth Hänström, numera landsarkivarie i Härnösand.

Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner. Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder. Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar. Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan. Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska. Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition:

  • Att handlingen visar att den är vad den utger sig för att vara,

  • Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen

  • Att handlingen blivit skapad eller inskickad i den angivna tiden

Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor. Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet. Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte. Som att autenticitet på något vagt sätt har med post att göra. Som att autenticitet är knuten till en enskild person.

Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre. Där uppges följande:

autenticitet authenticity äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll

Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering. Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt

Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter. I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet. Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning. Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin):

riktighet integrity skydd mot oönskad förändring

Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information. Jag har svårt att förstå denna prioritering mellan begreppen. Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans. Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.

Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet. Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts. När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv. För att inte tala om AI och deep fake.

Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så? Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a. många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s. att information i ett system ska skyddas mot förändring. Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning. Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende. Synd tycker jag vilket jag skrivit om här.  Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet. Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma. Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.

Hur ser då detta behov ut? Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”. För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är giltig vilket också kan formuleras att den har ett bevisvärde. Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid. Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v. Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip. Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel. De första sedlarna var egentligen kvitton på insatta medel hos en bank. Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller. För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst. Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.

Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer. Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v. De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde. I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts). Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.

Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder. Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal. Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet. Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.

Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt. Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare. Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder. Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet…. Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.

I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas. Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex. Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt. Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut. Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan. Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten. Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management. För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten. När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.

No probs sa utredaren

Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för. Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning. Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.

Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden. Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen. Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.

I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren. De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin. Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande. Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder. När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar). En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få. Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet. Många utredningar stannar här, d.v.s. hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen. Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.

Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning. Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen. Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar. Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel. För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad. Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar. Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet. För det andra leder det ofta till en ytlighet i begrepp och förutsättningar. Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats. Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser. Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar digitaliseringen. Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.

Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer. I det första fallet kan jag se två påtagliga sårbarheter. Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde. Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.

Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse. Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta  en representant för den största leverantören som expert i en utredning om digitaliseringsrätt . Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?

Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående. Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner. Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner. Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.

Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation inom utredningarna. I NISU t.ex. finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda. Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord. Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.

De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.

Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet. Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut. Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser. Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag. Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda. Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag:

Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag. Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar. Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k. säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder. Förslagen kan medföra att något fler personer säkerhetsprövas.

Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära. Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse. Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna. Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.

En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen. Istället kommenterar man möjligen de delar som berör den egna verksamheten. Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla. Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag. Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.

Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det. Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa. Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd. De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.

PS! Jag måste genast rätta mig själv innan någon annan hinner göra det! En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat uttrycket men det blir en snygg tatuering om det är kinesiska tecken…

Halmdockor och pepp

Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi. Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade. En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs Järnvägsresandets historia som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.

Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik. Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.

Vad är då budskapet i denna känslomässiga kommunikation? Så här ser de mest förekommande implicita och explicita budskap ut.

Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA. Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering. Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet här ) när digitalisering diskuteras. Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”. Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för. Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.

Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att all digitalisering är bra.  Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet. Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.  Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan. eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a. ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd. I den 84-sidiga vägledningen för behovsdriven utveckling  finns visserligen dessa rader med:

Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs. Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?

men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis eBlomlådan  och så kallade LIKA-värderingar som den här för socialtjänst. Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s. det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den här vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning). För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet. Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts. Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD. Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen. Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.

Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar. Istället sker kommunikationen med ett överflöd av uttalande av den här typen:

  • Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
  • En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan. Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
  • Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
  • Digitalisering skapar mervärde
  • Man behöver förändra helheten – inte bara småändra i marginalen. Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt
  • Möt innevånaren/patienten tidigt genom digitala arbetsmetoder

Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor. Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.

Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn. Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner. Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…). Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem. Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika. Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.  Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.

Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige. Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i.   Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt. Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger. Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering. Ett stöd för denna typ av reflektioner kan vara följande schema över vanliga villfarelser. Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.

Är alltid vad far gör det rätta?

Vår ambivalens inför molntjänster är stor. Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha. Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer. Vissa menar att vi står i ett vägskäl. Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken. Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp Mitt försvarsmakten, en rekryteringstjänst för Försvarsmakten. Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland. För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.

Hej!

Jag har tre frågor om Mitt försvarsmakten:

  1. Om jag förstår det rätt ligger den här rekryteringssiten som  en molntjänst där informationen ligger på Irland?
  2. Använder siten Google Analytics?
  3. Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?

Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.

Tack för svar!

och fick då följande svar som jag publicerar in extenso:

Hej!

Se svar nedan på dina frågeställningar.

Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365). Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat. Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen. Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna. Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.

Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde. Av samtycket framgår även att Microsoft behandlar personuppgifterna.

Försvarsmakten använder Google Analytics från Google som analysverktyg. Google Analytics använder cookies. Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google. Denna information används i syfte att utvärdera besöksstatistik. Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning. Google kommer inte att koppla samman IP-adresser med annan data som Google innehar. Google Analytics anonymiserar den information som skickas till Google.

För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.

För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om

Namn

Personnummer

Kontaktuppgifter (adress, telefonnummer och e-postadress)

Uppgift om kön

Uppgift om svenskt medborgarskap

Uppgift om nuvarande sysselsättning

Uppgift om nuvarande arbetsgivare

Uppgift om godkända betyg MA / SV / EN från gymnasiet

Uppgift om kondition och muskelstyrka

Intresse för Försvarsmakten

Medarbetarstatus, tidigare anställning inom FM

Har ansökt om Veterankort eller har Veterankort

Har sökt tjänst

Har sökt GMU

Har gjort rekryttest

Startat GMU/GU-F/GSU/Kombattantutbildning

Slutfört GMU/delkurs/GU-F

Tagit anställning inom FM

Avtal tecknat

Avtal tecknat den

Samtycker till lagring och bearbetning av information

Kandidaten vill avregistrera sig

Mvh Försvarsmakten

Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet. Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant. Frågorna jag ställer mig är:

  1. Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
  2. Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?

Observera att jag inte har svaret på dessa frågor – jag bara funderar.

Kan 1177-skandalen bli en reboot för vård-it?

Först en disclaimer. Denna text är skriven med ett visst undertryckt ursinne. Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar. Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter. De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand. Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov. Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut. Det var New public management utan management. Sedan dess har det bara fortsatt.

Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar. Det finns inget som är så lätt som att förutspå framtiden i efterhand. Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer. Jag: not so much. Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år. Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll. När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav:

Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter. Hur skyddet genomförs ska dokumenteras. Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget. Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.

ger det en indikation om hur relevant oron faktiskt var/är.  Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns. Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.

Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer. Enkla lösningar är det redan alltför många som kommer med. Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för. Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen. 

Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.

Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på. Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177. Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen:

2 §   Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.

När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården. Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå). I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare. Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna. Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.  Det juridiska ansvaret läggs nämligen främst på vårdgivaren:

3 §   Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.

Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp. Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens informationshantering. Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster. I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v. Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….

Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen. Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer. Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it. Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå. Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år. Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin Plattsformssamhället.

Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen. Ändå tror jag det är viktigt med ett ansvarsutkrävande. Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland. SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation. Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.  Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”. Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.

Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör? Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans. Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.  Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder. I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.                                             

Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation. SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård. Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL. Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen. Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.  Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk. Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården. Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten. Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt. Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.  Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den. Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB webbplats. Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs. SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer. Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om här. Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida. Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller. När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som här.

 I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra. Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer. Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen. Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården. Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.

Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.  Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på. Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga. Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.

Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd. Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder . Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet. Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet. Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

  1.  Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga. 
  2.  Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
  3.  Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering. Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
  4.  Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut. En central fråga är det reella ansvarsutkrävandet.
  5. Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
  6. Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
  7. Ta fram en gemensam styrmodell för informationssäkerhet i vården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
  8. Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
  9. Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
  10. Utveckla utbildningar för de som ska arbeta med informationssäkerheten i vården. 
  11. Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

E-arkiv och e-arkiv

Det är högintressanta tider då vissa frågor ställs på sin spets. I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.

Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin. Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare. Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet. En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven. I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.

Bakgrund

För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.  Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv. Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor:

  • Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år. Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
  • I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat här.
  • En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
  • Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid. För pappersbunden information har man därför ofta skapat mellanarkiv för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
  • Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut. Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner. För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter
  • En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn. I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet. Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s. myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
  • Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
  • I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet. Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation. Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske. Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra. En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne. Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.

Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.

Vad skulle då upphandlas?

Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre. Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter. En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet. I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående. Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring. Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med. Jag är inte förvånad över detta men vill ändå betona detta.

Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.

Statens servicecenter

SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns här). Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien. Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad):

Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering
· Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten. Förutsättningar för fortsatt arbete:
· Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.

Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”. Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.

Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.

Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet):

Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS). Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.

Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.

Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg. Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.

Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster. För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär. När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen. Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.

Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog. För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till en leverantör av en molntjänst, d.v.s. en tjänst där stora mängder offentlig ackumuleras.  Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information. Däremot inte hemliga handlingar:

  • den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar. Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt

  • e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet. Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället

Redan här väcks många frågor. Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta? Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån. Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda. Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden. Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.

I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).  Om detta synsätt sprids, d.v.s. att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen. Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala. Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).

Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan. Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer. Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten. Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.

Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller. Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.

Hunnen så här långt i genomgången av upphandlingen pockar två frågor på. För det första har SSC begränsat antalet möjliga leverantörer mycket starkt. Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor. Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades. Den andra frågan är varför denna upphandlingen sker över huvud taget. Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling. Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna? Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).

Till detta kommer en bilaga med ganska ordinära säkerhetskrav. Några reflektioner kan dock göras. Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns. En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet. Och som sagt: nivåer saknas. Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.

Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör. I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog. Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer. I upphandlingsunderlaget återkommer följande formulering:

Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter. Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.

Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.

SKI

SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.

Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som

I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.

Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift. I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC. SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig. Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.

Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet. Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.

Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).

Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas. Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling. Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling. Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut. Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.

Slutsatser

Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts. Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd. Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC. Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.

I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift. En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer. Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.

Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant. Det handlar om både organisation, tjänster och infrastruktur. De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag. Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster. En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas. En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.

Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt. Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar. Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.

Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan. Det gäller både operativt i rena kravställningar men också strategiskt. Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga. Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.

För att lyckas med krävs mycket stora insatser. Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan. Därefter bör ett nytt uppdrag skapas.  Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv. Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.

Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal ”Informationsförsörjning” innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön. Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering:

Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för
installation i kunds it-miljö

Naturligtvis borde jag nämnt avtalets existens. Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade). Dessutom går ramavtalet såvitt jag kan se ut den sista november i år. Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.

 

Freja, digitalisering och säkerhet

En anekdotisk bakgrund

Redan när jag under 1990-talet arbetade med informationshantering och informationssäkerhet i ett landsting (jag på den gamla goda tiden när det fortfarande hette landsting och inte regioner) blev den sköra balansen mellan landstingets eget ansvar och det nationella intresset tydlig för mig. Det är inget okänt eller nytt problem som nördar med överdrivet förvaltningshistoriskt intresse (d.v.s. jag) vet. De nya medicinska behandlingar liksom nya politiska vindar drev dock tillsammans med digitaliseringen fram en historiskt ny situation där de tidigare så inbillat självrådiga landstingen pressades åt två motsatta håll. Å ena sidan blev det enskilda landstingets sjukvårdsverksamhet alltmer integrerad i ett nationellt landskap som bland annat bestod i att specialiserad vård koncentrerades till ”vårdhubbar” och en gemensam struktur i nivåer. Å andra sidan en ökad fragmentisering med fler aktörer som kommuner, privata vårdleverantörer och fler tillsynsmyndigheter. I detta skede skulle de institutionella förutsättningarna förändrats så att en stark styrning möjliggjorts. Istället gjorde införandet av new public management att bristen på samordning nationellt trycktes ner till disparata krav för det enskilda landstinget att försöka pussla ihop. Jag kommer fortfarande ihåg den lätta panik jag kände när jag ringde till Socialstyrelsen i en fråga rörande journalhantering. Den hjälpsamma tjänstemannen meddelade att hen bara kunde ge stöd angående patientssäkerhetsaspekten i hanteringen av patientinformation. För att få råd avseende integritetsaspekter i samma hantering var jag tvungen att vända mig till Datainspektionen, och nej, de två myndigheterna hade tyvärr inte tagit fram några gemensamma vägledningar.

Systemfelet att man inte på nationell nivå integrerar frågeställningar som delvis är i konflikt i det praktiska utförandet utan skjuter över det till de utförande organisationerna att lösa individuellt är verkligen inte unikt för vården. På område efter område kan samma mönster urskiljas. Jag har redan mer än en gång för mycket beskrivit den (icke-)existerande samordnade styrningen av säkerhet och digitalisering. Jag har på senare tid börjat fundera alltmer på den heliga ansvarsprincipen som infördes på 1980-talet och då ersatte en centraliserad styrning av bland annat krisberedskap. I och med detta försvann visserligen detaljkraven på enskilda verksamheter men också inbillar jag mig möjligheten att kunna mobilisera samhällsfunktioner med nödvändig överblick över helheten. (Eftersom jag blivit alltmer nyfiken på tankarna bakom krisberedskap har jag börjat läsa litet, för andra med samma dragning kan en bra ingång vara den här utredningen).

Kanske är det överblicken och systemtänkandet jag saknade mest när jag började arbeta på en samordnande myndighet. Det var med en känsla av desillusion som jag tyckte mig se konkurrens och revirpink snarare än samarbetsanda hos de myndigheter som skulle samverka. Min upplevelse var också att det fanns ett klimat där det var mycket svårt att ta varandras perspektiv och ännu mindre perspektivet hos dem som konkret skulle genomföra flertalet säkerhetsåtgärder, d.v.s. de vanliga organisationerna. Särskilt dystert kändes detta med tanke på hur väl övriga samhällsaktörer behövde en samordnad inriktning och gemensam säkerhetsarkitektur (inte bara teknisk) – något som faktiskt inte det enskilda landstinget eller kommunen kan åstadkomma. För att inte drabbas av något ont öga vill jag återigen understryka att detta är min egen subjektiva upplevelse som säkert påverkades av mina högt ställda förväntningar.

De i det svenska statsskicket så självständiga myndigheterna föreföll också tämligen befriade från stark styrning från regeringskansliet. Snarare tycktes en omvänd ordning råda där expertmyndigheterna hade starkt inflytande över de inte alltför seniora tjänstemännen på RK och därmed i vissa delar tycktes formulera sina egna uppdrag. Hunnen så långt i mina reminiscenser dök tanken på Freja och hennes vagn dragen av katter upp. Alla med minsta kännedom om katter kan föreställa sig vilket sjå Freja hade om hon skulle få vagnen att rulla framåt, en katt som lägger sig och vägrar röra sig, två som går åt två helt olika håll och till det massa stirrande och fräsande. Men för att tänja på metaforen med Frejas vagn borde det vara en huvudfråga att vagnen med digitalisering, säkerhet och integritet rullar framåt. Då måste dragarna röra sig i samma riktning och helst vara lämpliga för ändamålet. 

Att samordning inte är svårt bara när det gäller de stora frågorna utan även i de mer konkreta metodfrågorna demonstreras i den frustrerande verklighet som de många som ska förverkliga intentionerna lever i. Efter att ha misslyckats med att få både intern och extern acceptans för en vägledning för informationsklassning började jag tänka om. Informationsklassning är en metod som jag själv praktiserat i ett par decennier med en tydlig förutsättning: den måste leda fram till konkreta och säkerhetshöjande åtgärder. Genom åren har jag sett många varianter av förslag på informationsklassning men mycket få som faktiskt tillämpats i praktiken. Det har till och med förekommit på konferenser och seminarier att metoder presenterats som framgångsrika trots att de aldrig använts i någon organisation! Informationsklassning i all ära men en stor del av säkerhetskraven är så generiska att det inte finns någon anledning att gå omvägen via klassningar. Ta exempelvis det mycket aktuella exemplet med ”molntjänster” med vilket för närvarande avses Office 365 och liknande helt omfattande lösningar där i princip all administrativ information utom HR och ekonomi kan hamna. Såvitt jag kan bedöma är det inte meningsfullt att genomföra enskilda informationsklassningar per verksamhet och inte heller per organisation (mer om det här.)

När nu säkerhetsskyddslagstiftningen inför ytterligare klassningar (vilket jag skrivit om bland annat här och här ) blir uppgiften ännu mer omöjlig att genomföra. Min slutsats är därför att informationsklassning faktiskt inte går att använda på det sätt som jag själv gjort i någon större skala utan att vi måste tänka om. Jag tror dessutom att det vore en samhällelig suboptimering av rang att göra som eSam och andra myndigheter föreslår: att varje organisation själv ska göra egna informationsklassningar och riskbedömningar. För mig vore det enda rimliga att de myndigheter som har formellt ansvar och de organisationer (som eSam) som tycker sig ha anledning att göra generella statements också bidrar till att lösa frågan och inte bara delar ut Svarte pettrar.

En aggressiv typ av Svarte Petter

 

Vad bör man göra

När jag slutade på MSB (där jag då var chef för enheten för systematiskt informationssäkerhetsarbete) för tre år sedan låg enhetens fokus på tre strategiska projekt:

  • Att ta fram ett underlag för en nationell styrmodell för informationssäkerhet som byggde på vetenskapligt stöd för styrning generellt
  • Att ta fram 5–10 generiska processer för kommuner inklusive den informations som skapas/används i processen samt i förlängningen
  • Att skapa ett underlag för att ta fram gemensamma skyddsnivåer som skulle kunna tillämpas av både offentliga och privata aktörer

Såvitt jag vet hamnade projekten i malpåse men jag skulle vilja förklara den bakgrund till projekten som jag bedömer som varande fortfarande relevant.

En del var en ökande medvetenhet om hur NPM-tänkandet präglat även informationssäkerhetsområdet bland annat i form av en extrem decentralisering och fokus på mätning snarare än att skapa en sammanhållen och kostnadseffektiv arkitektur av säkerhetsåtgärder. Exempel på detta är att den stora övertron till att ISO-standarden ska lösa problemen trots att den uttryckligen är inriktad på enskilda organisationers säkerhet och därmed har en stor potential för att ge olika svar i olika organisationer. Ett annat är det lika överdrivna intresset för att samla in incidentrapporter utan att sedan riktigt veta vad man ska göra med dem. Istället menar jag (fortfarande) en stark central styrning måste till och att tanken på standarderna som universallösningen måste överges. Enkelt uttryckt måste vi förflytta oss från metoder som är skapade för att skapa olika resultat till styrning som ger ett enhetligt resultat i den gemensamma infrastrukturen.

Att skapa större enhetlighet inte bara vad gäller metod utan i faktiska säkerhetsåtgärder bör i sig vara ett mål. Det vill säga att där det förekommer likartad information i likartade processer bör den om möjligt hanteras på ett enhetligt sätt. Om man har detta som utgångspunkt finns i Sverige alldeles lysande förutsättningar för att nå snabba säkerhetshöjningar, något som nu inte alls tillvaratas utan snarare motarbetas. Låt oss ta kommunerna som det kanske tydligaste exemplet. Samtliga 290 kommuner har tio obligatoriska uppgifter som de ska utföra. Det innebär att deras kärnverksamhet i består av tio i huvudsak likartade processer med i huvudsak likartad information. Att söka skola eller byggnadslov ser ungefär likadant ut även om man kan ha olika organisationer, system och begrepp. Genom att utnyttja den fördelen och skapa generiska processer inklusive informationsmängder kan man också ta fram informationsklassningar för kärnverksamheten som kommunerna kan utgå från liksom även skyddsnivåer där systemen som stöder processerna kan placeras in. Detta är bara ett exempel på hur vi snarare har motverkat de stora fördelar som finns i likheten och skapat ett enormt maskineri av krav på att med bristfälliga resurser klassa samma information fast få fram olika resultat…

Förutom den effektivitet och kostnadsreducering som skulle kunna vinnas med den här typen av styrning är den kanske mest centrala att det faktiskt skulle leda till bättre säkerhet. De riskbedömningar, klassningar och skyddsnivåer som kan tas fram med experter på nationell nivå kan med stor sannolikhet, förutom att vara enhetliga, vara av en annan kvalitet än de som en informationssäkerhetsansvarig på 20 % i Söpple kommun har möjlighet att frambringa. Här vill jag dock med all kraft understryka att den verksamhetskunskap som finns i företag, kommuner, regioner och myndigheter inte kan ersättas av säkerhetsexperter. Nej, här det snarare frågan om en stark funktionell renodling där verksamheter står för verksamhetskompetensen och säkerhetsfunktioner står för säkerhetskompetens. Och självklart kommer det att kvarstå verksamhet som är unik som måste hanteras av den egna organisationen.

Grunden var att försöka komma fram till hur man ska kunna skapa institutionella förutsättningar för att skapa en fungerande informationssäkerhet som dessutom är i samklang med både den planerade och den oplanerade digitalisering som pågår. Jag vill betona betydelsen av institutionella förutsättningar i styrsystem eftersom det inom säkerhetsområdet florerar en underförstådd föreställning om regelstyrning både i den lokala organisationen och på nationellt plan. Den kan tolkas som att det räcker med att bara säga till vad som gäller (regler) och sedan straffa eller skamma de som avviker från dessa. Om detta har en säkerhetshöjande effekt eller inte har en underordnad betydelse. Till och med vid framtagandet av föreskrifter är frågan om hur föreskriften ska få effekt en osynlig fråga. För att belägga det räcker det att konstatera att det saknas en planerad uppföljning av föreskrifters genomslag inte tas fram. Jag tror helt enkelt att säkerhetsområdet måste börja närma sig andra områden när det gäller styrning. Detta behov blir än mer framträdande då det sedan ett par decennier är i allt högre grad privata aktörer som utför centrala delar av samhällsviktig och offentligt finansierad verksamhet. I en situation av mer governance och mindre government blir rak regelstyrning mindre effektiv. De institutionella förutsättningarna innebär inte bara regler utan också beteende där beteendena bör förflyttas så att de överensstämmer med reglerna. En viktig uppgift är alltså att hitta de mekanismer som kan underlätta denna förflyttning.

Ganska självklart men kanske för ofta bortglömt. Styrningen beror alltså på att man väljer rätt metoder för att underlätta förflyttningen av beteendena. Straff och tillsyn är ofta framlyfta incitament inom säkerhetsområdet men min uppfattning är att minst lika stort intresse borde vigas åt de positiva incitamenten som exempelvis överenskommelser, kunskapsstyrning och en positiv säkerhetskultur även på nationell nivå.

För att inte hamna i Frejas situation och ha en vagn spänd bakom trilskande kissar har jag tagit fram följande superförenklade bild över hur en gemensam styrmodell skulle kunna utformas. Pilarna ovanifrån är verksamhetskrav för att styrmodellen ska utformas med de risker som finns i detta perspektiv. Vad som inte finns med är hur styrmodellen ska samverka med myndigheternas krav på digitalisering – detta mest beroende på att jag funnit det omöjligt att hitta underlag för att beskriva hur denna styrning är avsedd att ske.

 

Här vill jag skjuta in att den här typen av modell även skulle leda till att relationen med leverantörer av tjänster för informationshantering skulle förbättras på ett antal nivåer. För det första skulle kommunikationen vid upphandlingar kunna ske med stöd av skyddsnivåerna i modellen: kunden kan istället för egenhändigt utformad kravspec för säkerhet peka på vilken skyddsnivå systemet eller tjänsten ska uppfylla. För det andra kan, om beskrivningarna i skyddsnivåerna är rätt utformade, leverantörerna bidra med lösningar med bättre säkerhet än vad kunderna skulle kunna formulera krav på. Leverantörerna har trots allt som sin kärnuppgift att utveckla teknik vilket inte kunderna har. För det tredje skulle det ge leverantörerna ett mått av förutsägbarhet som gör det värt att investera i utveckling av nya säkerhetslösningar. För att bara ta några möjliga förbättringar.

Det skulle också innebära att man kan lyfta kretsloppet av ständig förbättring, PDCA-cykeln, från den enskilda organisationen till vår gemensamma informations- och it-struktur, med dessa exempel:

Detta är bara en bråkdel som finns att säga om detta. I ett senare inlägg kommer jag därför att beskriva förslaget ytterligare. Observera fram till dess med tacksamhet att jag inte satt Operation Gyllenborst som namn på modellen.

Ta det lugnt och läs en bok

2018 har varit ett bra år för mig personligen men knappast för världen i stort. Jag kommer därför inte att ge några julgåvor, inte skicka några godiskorgar eller julkort utan istället investera litet pengar som ett mycket anspråkslöst sätt att påverka vår gemensamma framtid i rätt riktning. Om andra får inspiration att göra detsamma – desto bättre!

Jag donerar därför 10 000 kronor till Civil Right Defenders som arbetar för att försvara människors medborgerliga och politiska rättigheter och stärker människorättsförsvarare som är utsatta för risker. Idag när grundläggande demokratiska värden ifrågasätts av allt fler känns detta som en organisation med större relevans än någonsin. Det går att swisha
valfri summa till 900 12 98 men man kan också bli månadsgivare. Flera alternativ finns här.

Det är lätt att glömma bort allt gott arbete som sker lokalt och som gör vårt samhälle bättre. När man som jag lever ett kringflackande liv är det svårt att bidra till detta arbete i det dagliga men då kan man ändå stödja de fantastiska människor som varje dag gör livet litet bättre för människor. Jag har därför valt att även ge 10 000 kronor till Världen i Värmland som är ett nätverk som arbetar för att förbättra situationen för unga människor som kommit som flyktingar till Värmland. Nätverket samarbetar med flera av kyrkorna i länet, Röda Korset m.fl. För den som också vill bidra till detta finns swish 123 262 5648 och bg 510-3338. På facebook-gruppen med samma namn finns information om de många aktiviteter och insatser som görs.

(Jag kommer även att ge en summa till Djurskyddet som tar hand om katter i nöd men det säger jag inte för att undvika att framstå som en crazy cat lady…).
Annars önskar jag alla en god jul och ett gott nytt 2019 där allt blir litet, litet bättre! Och att alla tar det litet lugnt och läser en god bok.