Den opaka e-hälsan eller what are they building in there?

Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet. Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen. I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.

Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas. Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill. Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.

Sjukvård rankas som den viktigaste frågan av väljarna. I Sverige är sjukvården offentligt finansierad. Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet. Tyvärr är inte så fallet när det gäller e-hälsa. Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs. Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.

Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL. Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det. Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner. Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med. Bristen på insyn blir mycket påtaglig när man ser på den beredning för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner. Det är alltså ett indirekt valt politiskt organ. Uppdraget är stort och spännande för den som är intresserad av e-hälsa:

Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.

Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning. I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.

Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande insats angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster. Detta trots att SKL själva uppger följande i sin rapport:

Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.

Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades. Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium):

Jag skulle vilja  veta:

– vilka handlingar som finns relaterade till Beredningen för digitalisering

– vilka av dessa handlingar som jag kan få ta del av

fick jag följande, kanske väntade svar:

Hej!

Tack för att du kontaktar oss.

SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen. Vi kan därmed inte hjälpa dig med din förfrågan.

Du kan läsa mer om SKL och vår organisation på vår webbplats.

Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat. Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?

Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande. När jag läser programmet till den Nationella e-hälsodagen 2019 med underrubriken

En dag. En vision. Oändliga möjligheter.

känner jag en lätt yrsel. Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas. Nu senast var det Region Skånes upphandling av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet:

I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp. Riskanalysverktyget anses dessutom vara svårt att hantera.

Organisationskulturen i sig finns också med bland de identifierade bristerna. Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.

Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”. I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.

Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd. Min fråga:

Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?

besvarades med att den sannolikt var ett internt arbetsmaterial.

Det mest deprimerande i detta är att upprepningstvånget. Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat Finland och Danmark med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort. Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia. Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!

Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ. För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.

Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex. konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt. Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta. Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna. Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter. För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.

 

 

 

Inera tredje gången gillt

Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti. Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.

Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet. Detta dokument tycks ha ganska litet att göra med den policy som beslutades i juni och där informationssäkerhetsarbetets övergripande syfte anges vara att

främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.

De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om  patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.  Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”. Gemensamma för vem och framtagna av vem kan man undra. Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas. Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument. Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar. Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.

Riktlinje för informationssäkerhet Inera

En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation. Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken). Detta var också första gången på tre och ett halvt år som en uppdatering skedde.

Nog om detta lustiga sammanträffande. Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn. Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras. Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren:

För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd. För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.

Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för. För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster. Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven. Samtidigt skriver man t.ex. under 15.3.1. om en informationsägare som sannolikt är kunden.  Roller och begrepp är alltså inte konsistenta.

Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2. Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå. Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar. I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer. Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer. Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet. Igenkänningsfaktorn är hög. Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt. Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.

Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till  OSL 18 kap. 8 §:

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser

  1. byggnader eller andra anläggningar, lokaler eller inventarier,

  2. tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen,

  3. telekommunikation eller system för automatiserad behandling av information,

  4. behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling,

  5. den civila luftfarten eller den civila sjöfarten,

  6. transporter på land av farligt gods, eller

  7. hamnskydd.

kändes märkligt. Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds. På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer. Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering. Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt. Även detta är att starkt skäl att se över regelverket och styrningen i stort.

Om vi sedan tittar på de två övriga dokument jag fått ta del av:

Anvisning för informationsklassificering Inera
Anvisning för informations- och IT-säkerhet för medarbetare inom Inera

så går maskningarna i dessa sammantaget att räkna på ena handens fingrar. Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem. Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.

Min sammantagna bild är att Inera saknar ett sammanhängande systematiskt informationssäkerhetsarbete och att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet. Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt. Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.

Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital kommunikation. Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet? Finns det en risk att detta projekt hamnar i samma situation som den utredning om säker it-drift som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)? Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.

Möjligen har jag helt fel. Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av. Men samtidigt är det svårt att föreställa sig ett systematiskt informationssäkerhetsarbete där det inte finns en tydlig dokumenterad styrning. Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns. Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen. I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.

 

 

 

Kammarrätten har fällt sitt utslag

Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet här. Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt. Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut. För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt. Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.

Kammarrättens beslut

 

Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar. Samtidigt väcker ju historien med Inera en hel del tankar. En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer. Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort. Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.

Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt. Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.

En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär. Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk. Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.

Prick-till-prick-teckning på samhällsnivå

Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love. Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil. Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv. Redan tidigt i boken finns följande passus:

Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd. Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till. Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.

Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv. Så är det ju ofta med god litteratur, den lever vidare inom en. Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband. Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.

Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig förvaltning . Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte. Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område. Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten:

Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF). Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.

Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.

Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur. Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt. Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt. Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.

Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet. MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit här) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter. Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail:MSB 2019-09569-1 Kommentarer på slutrapport Uppdrag om säkert och effektivt informationsutbyte

Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt. Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning. Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.

Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning. I detta dystra scenario är det inspirerande att snegla österut. I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning. I propositionen som låg till grund för lagen ges inriktningen:

Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn. Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet. Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen. Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem. Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt. Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.

Lagen träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet. I dagarna har även en ny cyberstrategi antagits.

För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar. I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen. De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete. På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.

Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.

 

 

 

Integritet, äganderätt och digital valfrihet

Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den. Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.

När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror. Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om här. Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.

Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer. Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva. Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex. för att ge oss rätt vård. Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling. En snabb och hårdragen exposé skulle kunna se ut som följer. I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid. Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.

Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten. Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård. Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem. Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv. Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta  erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.

Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället. Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården. Om vi tar det aktuella exemplet Region Stockholms Centrum för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet. Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare. Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller oljan   kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.  Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.

Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där sjukvårdspolitiker inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna. En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster. Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras. Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården. I ovan refererade debattartikel  förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning? Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten. När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser. Nu ska man sälja hälsodata till ”självkostnadspris”. Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?

Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation. Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen. Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten. Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras. Exempelvis kryssa i ett formulär med alternativ som

Mina patientuppgifter får användas:

  • endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering
  • utöver ovanstående även akademisk forskning där resultaten kommer samhället till del
  • utöver ovanstående även akademiskt forskning i kommersiell regi
  • för kommersiellt bruk oavsett bransch

Till detta kan läggas verklig anonymisering som alternativ på samtliga val. Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.

Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det. Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan ifrågasättas.  En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran. Tanken svindlar för vilka möjligheter som skulle kunna öppnas. Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.

Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.

 

Är öppenhet en risk?

Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården. I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan. Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ett systematiskt informationssäkerhetsarbete i NIS-direktivet. Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.

En naturlig startpunkt är Inera som presenterar sig så här:

Inera ägs av SKL Företag, regioner och kommuner. Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling. Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.

och

Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner. Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen. Vissa tjänster används av invånare, andra av vårdpersonal. Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.

Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.

Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså. Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder. Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård. Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.

Dessutom ska Inera stödja

digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.

Bland annat säger man sig ta fram

regelverk för informationssäkerhet, juridik och kvalitetssäkring.

Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras. När man bedömer en organisations förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete är den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats. Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet. I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk. Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).

Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB. Mitt sammantagna intryck är att det varit motigt att införa ett systematiskt informationssäkerhetsarbetet trots uppdraget Inera och dess föregångare haft.

Men åter till nuläget.

Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti:

Hej!
Jag skulle vilja ta del av:
– Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet
– Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder
Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.

Tack på förhand!

Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot. Sedan dröjde det och dröjde det. Till slut kom ett svar den 22 augusti:

Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.

Ineras informationssäkerhetspolicy återfinns på www.inera.se. Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på www.rivta.se. Beträffande LIS gör Inera följande bedömning:

Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare. Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet. Den senaste mer omfattande informationssäkerhetsrevisionen gjordes den 2 maj 2019.

Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001. Systemet består bl.a. av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m. I systemet ingår vidare modeller för riskhantering, informationsklassificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.

Sekretess gäller enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.

LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen. Handlingarna kan därför inte lämnas ut.

Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.

Med vänlig hälsning

Inera

Detta var ett intressant svar av flera skäl. För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras webbplats så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”. Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör . Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).

Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!

Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post:

Tack för svar! En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?

Till svar fick jag följande:

I Ineras bolagsordningen (från 2017) står följande:

  1. OFFENTLIGHET

Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap. tryckfrihetsförordningen och offentlighets- och sekretesslagen.

Här tätnade mystiken för mig. 2 kap TF och OSL handlar om hanteringen av allmänna handlingar. Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning? En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting. För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut. Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten. Min nästa fråga blev därför:

Tack!

Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?

Och svaret kom pronto:

Ja, det stämmer. Vill du alltså helst få ett formellt beslut?

Självklart vill jag ha ett formellt beslut men på vad? Jag var tvungen att skriva tillbaka för klarläggande:

Hej igen!

För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem. I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta. Exempel kan vara Riktlinje för åtkomst osv. Dokumentnamnet kan inte falla under den sekretess ni hänvisar till. Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.

Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.

När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.

En vecka senare (30 augusti) kom svaret med en bilaga Inera LIS Sammanfattning v 3.2 2019-01-31

Hej Fia,

Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter. Den instans som är aktuell i besvärsfrågor är Kammarrätten.

Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran:

Tack!

Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3. Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade. Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument? Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?

Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen):

  • Riktlinje informationssäkerhet
  • Anvisning för informationsklassicering
  • Anvisning för informations- och it-säkerhet för medarbetare

Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut. Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s. beslut inom tre arbetsdagar.

Trevlig helg!

Idag den 3 september fick jag ett formell avslag med en besvärshänvisning Utlämnande av handling 20190903 (002)
där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess. Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning. Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande SKL Kommentus inköpscentral (SKI). Av rent intresse kommer jaag ändå att skicka in ett besvär.

Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL. Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip. Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod. Eller hur riktlinjer för informationssäkerhet i sin helhet skulle kunna vara känsliga. För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar här) . Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar. Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering. Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt? En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.

Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002. Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.  Dessa frågor återkommer inte heller på anvisningsnivå. Inledningsvis sägs att:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna? Och i relationen med kunderna? När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.

Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden. Men då har jag som sagt inte sett själva dokumenten. Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?

Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat. Varför skulle större sekretess råda hos Inera? Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt. På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.

Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur. Det måste finnas en grundlig kännedom  och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit. Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar. Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering. Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur. Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk. Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka strategiskt men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).

Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på webbplatsen, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten. Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete. Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.

Några ytterligare ord om 1177

Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle. Den inleddes med inlägg där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.

På inlägget följde två svar. Det första kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet. I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”. Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation. Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse. Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare. Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll. Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder. Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen)  leder till ett demokratiskt underskott som borde bekymra fler än mig.

För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt debattsvar. Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram. Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga. Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge. Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits. Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella strategin för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden. Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex. i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.

SKL menar att jag bara gnäller utan konstruktiva lösningar. Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v. men att vara konstruktiv innebär inte att man bortser från problemen. Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande rant ger intrycket av. Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar. Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll. Min enda önska är att informationssäkerheten tas på samma allvar som säkerheten i andra aspekter. Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.

Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm svarade och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig. Jag håller inte med. Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete. Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet. Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer. Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete. Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas. Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.

1177 igen

Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?) publicerades dagen för midsommarafton. Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.

Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning:

Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner. Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF. En lista över de personer som intervjuats återfinns i bilaga 2. Granskningen har genomförts under maj-juni 2019.

Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.

Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst. Den sammanfattande bedömningen är dock på allvar oroande:

Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet. I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp. Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.

Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten. Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.

Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning. Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer. Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.

HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp. Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst. Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.

1177-skandalen var trots allt bara en sten som vändes, om än stor. Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten. Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer. Ta till exempel följande iakttagelse från granskarna:

HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS). Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet. I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå. Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet. Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen ska arbeta med informationssäkerhet.

Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning. Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex. bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.

Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer:

Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet. Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls. Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet. Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet. Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019. Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.

Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna. Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar. Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns. Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård. I den kommentar som regionens ansvariga för vård ger upprepar man att man ska införa ett systematiskt informationssäkerhetsarbete men fokuserar i åtgärderna huvudsakligen på underleverantörerna.  Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar:

HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet. Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet. Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal. Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten. Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.

Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån. Det gör att man vare sig kan ha ett internt systematiskt informationssäkerhetsarbete eller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.

Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet. Den stora frågan är varför Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna. Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS? Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation. KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.

En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ett systematiskt informationssäkerhetsarbete kommer att ignoreras. Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.

Tillägg 2019-06-24: Lägger ut rapporten som pdf här:

Granskningsrapport_Informationssäkerhet_190620

Nya Karolinska blev en guldgruva för alla utom patienterna (och skattebetalarna)

Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska. Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning. Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig. Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.

Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven. Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla. Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation. Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.

Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s. personalen. Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt. Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård. Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori. Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen. Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.

Region Stockholm har dock tagit vissa fenomen till en ny nivå. Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi. För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd. Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt. Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma. Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid. Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om här.Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.

För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv. Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya it-lösningar som sedan kraschlandar . Därefter glöm, få andra att glömma och upprepa. Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.

Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av Konsulterna sammanfatta sin teori i ekvationen vårdresultat/kostnad=värde. Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta. Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet. Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.

Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst. Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård. Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast. Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker. Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.

Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar. Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det? Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild)  webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara. Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva The Age of Surveillance Capitalism beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar. Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som här . Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag. Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper. I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.

Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm). Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet. Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna. Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv. Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara. När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).  Eller som Zuboff beskriver det i fallet Google:

That Google had the power to choose secrecy is itself testament to the success of its own claims. This power is a crucial illustration of the difference between “decision rights”and “privacy.” Decision rights confer the power to choose whether to keep something secret or to share it. One can choose the degree of privacy or transparency for each situation. US Supreme Court Justice William O. Douglas articulated this view of privacy in 1967: “Privacy involves the choice of the individual to disclose or to reveal what he believes, what he thinks, what he possesses.

Surveillance capitalism lays claim to these decision rights. The typical complaint is that privacy is eroded, but that is misleading. In the larger societal pattern, privacy is not eroded but redistributed, as decision rights over privacy are claimed for surveillance capital. Instead of people having the rights to decide how and what they will disclose, these rights are concentrated within the domain of surveillance capitalism. Google discovered this necessary element of the new logic of accumulation: it must assert the rights to take the information upon which its success depends.

I denna historiska korsväg utvecklar först Google och därefter bl.a. Facebook sina tjänster. I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende. I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring. Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering. Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att förutse användarnas behov:

Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories. Predictions about our behavior are Google’s products, and they are sold to its actual customers but not to us. We are the means to others’ ends.

Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå. Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier. Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid…

Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det. Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande. Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.

Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare. Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare. Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen. Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen. Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt. De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara. Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok:

Det är en sak som BCG och bolagen de jobbar med främst vill åt. Det är patientdata som är deras bitcoins. Däri ligger den stora affären i värdebaserad vård.

Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag. Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter. Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare. När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på Hälsa för mig .  När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades. Vad var egentligen hönan och vad var ägget i Hälsa för mig?

Den medvetna sammanblandning av offentliga och privata intressen som Zuboff beskriver när det gäller Google:

Fortifications have been erected in four key arenas to protect Google, and eventually other surveillance capitalists, from political interference and critique: (1) the demonstration of Google’s unique capabilities as a source of competitive advantage in electoral politics; (2) a deliberate blurring of public and private interests through relationships and aggressive lobbying activities; (3) a revolving door of personnel who migrated between Google and the Obama administration, united by elective affinities during Google’s crucial growth years of 2009–2016; and (4) Google’s intentional campaign of influence over academic work and the larger cultural conversation so vital to policy formation, public opinion, and political perception. The results of these four arenas of defense contribute to an understanding of how surveillance capitalism’s facts came to stand and why they continue to thrive.

kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården. Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.

Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig. Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s. de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett. Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt. I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.  Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!

Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet. Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat. Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin. Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna. Detta sker i samarbete med – BCG…  Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig. Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”. Ganska långt från dataskyddsförordningens regler är väl ett understatement.  Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet. Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.

Vad kan då göras? Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med. Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden. Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet. DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå. Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.

Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.

Själv fick jag min nya Fitbit igår…

Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av databasen.

Vårt behov av autenticitet

Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade. Förra gången utredningsväsendet, nu behovet av autenticitet. Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK! Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.

Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen. Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet. Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar. Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat. Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet. Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema (Om informationstekniskt bevis av Jonas Ekfeldt). De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 Juridik som stöd för förvaltningens digitalisering där ordet autenticitet finns med två (!) gånger på 562 sidor. Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext. Det enda glädjeämnet är en tio år gammal text av Kenneth Hänström, numera landsarkivarie i Härnösand.

Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner. Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder. Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar. Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan. Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska. Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition:

  • Att handlingen visar att den är vad den utger sig för att vara,

  • Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen

  • Att handlingen blivit skapad eller inskickad i den angivna tiden

Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor. Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet. Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte. Som att autenticitet på något vagt sätt har med post att göra. Som att autenticitet är knuten till en enskild person.

Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre. Där uppges följande:

autenticitet authenticity äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll

Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering. Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt

Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter. I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet. Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning. Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin):

riktighet integrity skydd mot oönskad förändring

Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information. Jag har svårt att förstå denna prioritering mellan begreppen. Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans. Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.

Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet. Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts. När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv. För att inte tala om AI och deep fake.

Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så? Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a. många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s. att information i ett system ska skyddas mot förändring. Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning. Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende. Synd tycker jag vilket jag skrivit om här.  Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet. Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma. Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.

Hur ser då detta behov ut? Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”. För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är giltig vilket också kan formuleras att den har ett bevisvärde. Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid. Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v. Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip. Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel. De första sedlarna var egentligen kvitton på insatta medel hos en bank. Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller. För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst. Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.

Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer. Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v. De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde. I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts). Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.

Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder. Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal. Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet. Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.

Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt. Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare. Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder. Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet…. Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.

I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas. Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex. Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt. Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut. Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan. Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten. Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management. För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten. När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.