Marshmallows och digitalisering

Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering. Rapporten väckte förvåning och upprördhet i vissa kretsar. Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras. Samtidigt får jag litet drygt medge att jag inte är såååå häpen. Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.

Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig. Ur minnet kan jag rada upp följande:

  • Toppledarforum
  • E-nämnden (Nämnden för elektronisk förvaltning)
  • 24-timmarsmyndigheten
  • Verva
  • E-delegationen
  • E-legitimationsnämnden
  • Digitaliseringskommissionen
  • Digitaliseringsrådet
  • DIGG

Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år. Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.

Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera. Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet. Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut. Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt  utan styrning av digitala lösningar på sikt skulle gynna samhället bäst. Om detta har varit planen har den dock hållits väl dold. Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.

Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag. Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren. Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent. Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar. Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma! Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så. En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att

stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.

Detta inkluderade även e-legfrågan. Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl. Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling. Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället. Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.

Och vad är det då för resultat som eftersträvas? Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp. Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt. Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan. Exakt hur det här ska gå till beskrivs vad jag kan se varken av infrastrukturdepartementet, DIGG eller digitaliseringsevangelisterna SKR  trots att man skrivit vad man kallar mål och strategier. Det förväntas bara ske.

Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till. Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering. Riksrevisionen publicerade 2016  en rapport som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till. Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål. Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”? Däremot kom 2019 en granskning  om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen. Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området. Statskontoret har skrivit myndighetsanalyser av bl.a. E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig. Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt. Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram  som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa. Som det nu är hittar jag egentligen bara en rapport som handlar om cancervården specifik. Ett projekt om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.  Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?

Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom. Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild. På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två. Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet. Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug. De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan. Det tycks som man ofta gör saker för att man kan, inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.

Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen. Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb. Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!) men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande. Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot. Detta borde vi prata mycket mer om.

För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.

Effektivisera informationssäkerhetsarbetet!

I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt. Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas. Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt. För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser. Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m. tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.

Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet. Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar. Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder. Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till. Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre. Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat men den informationssäkerhetsansvarige som initierat dem kan bocka av en ruta. För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.

Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling. Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att ha kontroll över sin information. Har man inte det så har man inte en fungerande informationssäkerhet. Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast. Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast. Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”. Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet. Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift. ”Stöd” sågs helt enkelt som synonymt med någon slags programvara. Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra. I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar. Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?

Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ. Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg. De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet. Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.

För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman. Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag. Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare. En central del i omsorgen av äldre är läkemedelshanteringen. Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång. Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig. Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst. Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.  Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.

En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.

 

Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen:

 

 

Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan. Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen. Den intresserade kan notera följande:

  1. Merparten av informationsmängderna är även de att betrakta som tämligen generiska
  2. Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen
  3. En stor del av informationen finns på flera bärare samtidigt
  4. I hela processen är spårbarheten är essentiell för patientsäkerheten

Detta är inte på något sätt unikt för den här processen utan gäller för många andra. Slutsatsen man kan dra är att om man seriöst ska arbeta med informationssäkerhet så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen. Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas. Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form. I den ovan beskrivna processen finns t.o.m. bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.

Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra. Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en normerande klassning i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda. Dagens rekommendation från myndigheter och SKR är  att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg  ska klassa system i varje förvaltning. Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.  Enligt Almegas beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg. Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden. Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.  Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen. Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat. Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar. Betänk också att detta bara är en av flera processer bara i äldreomsorgen.

Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar och skyddsnivåer. Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa. Koppling till krav i föreskrifter med mera bör även finnas. Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex. fysiskt skydd av papper. En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer. Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv. Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.

Vad skull då detta kunna innebära i praktiken? Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld):


Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens. Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.

Som en bonus kan även krav på bevarande och gallring läggas in.

Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt. Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången. Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.

Tack Calle Lilius för bilderna!

Förstatliga eller inte förstatliga – det är frågan

1910 blev Karlstads lasarett det andra i Sverige som blev s.k. delat lasarett (efter Falun). Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet. I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v. , blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät. Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former. Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m. för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.

Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.  För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka. Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen. Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.

Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen. Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten. Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ. Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän  – något vi sett de avskräckande konsekvenserna av nu efter covid-19.

Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter. Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten. Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar. Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit. Detta skapar kohorter av  nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar. Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit. Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer. Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.

Det är med detta i bakhuvudet jag läser ledaren i DN som drar en lans för förstatligande av sjukvården. För mig framstår det som ett relevant förslag. 1962 gav de flesta landsting ut historiker över sina första hundra år. Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet. Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.

Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov. Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.  Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna. Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå. En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).

Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt svar på DN:s ledare. Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra  sjukvården regionalt anpassad och därmed ”bättre”. Med viss bombasm skriver Knape:

Folkviljan utövas genom den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt. Deras kraft är oslagbar.

För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende. Inga sjukvårdsstrider har varit så infekterade som de inom enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus. Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.

För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva. Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.

Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den  regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör. Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande. Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.

Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet. Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården. INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här:

Digitalisering, låt ditt namn bli helgat

Låt ditt rike komma.

Låt din vilja ske, på jorden som i molnet.

Ge oss i dag vårt dagliga bröd .

Och glöm våra misslyckade projekt, så som vi glömmer dem själva.

Och för oss inte in i verkligheten, utan fräls oss från ansvar.

Förlåt, det är semester…

Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts. Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.  Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.

För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården. Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården. Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.

Nej, det är inte alltid bäst att göra ”något”

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det. Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut. I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad. Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.

Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin. Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen. Likaså är historien rik på exempel där boten varit värre än soten, d.v.s. att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka. En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar. Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.

Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig. De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem. Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.

När vi blir utsatta för en  pressande situation får många individer och organisationer ett starkt behov av att agera. Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna. Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget). Samma sak med integritet och skyddet av personuppgifter. De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.

Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem. Okritiska reportage om hur kreativa elever fått skolor att börja använda Discord (!) i skolans uppgifter. Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning. Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”. Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar. När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion mot spårbarhet som säkerhetsdimension). Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna? Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.

När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet. Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten. En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.

Det är just i krissituationer som det systematiska informationssäkerhetsarbetet prövas. Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare. Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.  Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras. Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan. Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten. Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen. Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.

 

 

SKR, myndigheter och sekretessen

Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se föregående inlägg.

För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening. Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen. SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.

Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna. Häromdagen fick jag detta exempel mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda:

En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

– Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen. Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med. Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen. Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.

Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna. Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara. En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?

Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet. I mitt förra inlägg framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas. Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras. När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan). Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex. gällande samhällsviktig verksamhet. Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.

Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar. Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden. För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.

Enligt mitt resonemang är det alltså  en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar. Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR. Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Efter tämligen lång tid och en påstötning fick jag följande svar:

Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.

Genom en sökning i vårt diarium har vi hittat två avtal med SKR:

  • Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779)
  • Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap. 2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

Du har rätt att begära ett skriftligt beslut som går att överklaga. Skriv till registrator@msb.se.

För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på avtalet angående krisberedskap. Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR. Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens beredskap medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga. Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .

Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya e-hälsostrategin (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv. Från denna myndighet fick jag bara ett kort nej på frågan.

Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess. Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.  Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena. Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör. Detta även då det gäller informationssäkerhet. Nyligen skickades ett mail ut från SKR:

Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.

Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.

Dessutom blir det en hel del ny funktionalitet, t.ex.:
– En ny modul för att mäta organisationens mognad,
– Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp,
– Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå,
– Stöd för CISO i det systematiska arbetet och
– Modul för riskanalys.

Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa. Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa. Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.

Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys! Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.

Det är dags för en mer omfattande diskussion om SKR:s roll. Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor. Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.

 

 

 

 

Hur kunde jag missa den rapporten om SKL/SKR?

Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) ställning hittar jag plötsligt en rapport från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om! Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?

Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor. Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar. Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.

Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen. I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m. haft en dubbelroll där man kunnat ge sig själv uppdrag. I huvudsak har det handlat om att förmedla statsbidrag som ett otraditionellt styrmedel (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar. Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen. Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.

SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?) använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret. Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla:

Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting. Det har praktiska orsaker. Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 olika landsting.

Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna. Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna. Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen. Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.

Detta har skapat det SKR som vi känner idag:

Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen. Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården. Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om. Att SKL påverkar villkoren för kommuner och landsting är naturligt. I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården (min kursivering).

Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL. Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet. I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll. Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik. Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården. Det är Riksrevisionens  bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen (min kursivering).

SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen. Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän. Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen. Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet. SKL företräder offentliga organ, men är i sig själv inte ett sådant. Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen. SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret. Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet. SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar (min kursivering).

Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen:

I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation. Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting. Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar. Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna. Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik. Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra. Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.

Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin:

Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas. Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”. Databasen förvaltas av SKL men har finansierats av staten.

Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall:

Att databasen hanteras av en intresseorganisation är en ovanlig lösning. Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket. I regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer. Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret (min kursivering) .

I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.

Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna. Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel. Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen (min kursivering). Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan. Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt. Regeringen har uttryckt att antalet överenskommelser ska minska. Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur. Om det nära samarbetet med SKL, i form av t.ex. överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel. Det kan t.ex. handla om att reglera insyn och förvaltning under och efter en satsning. Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna. Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid. Riksrevisionen noterar att medlen till SKL ökar. Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation (min kursivering).

Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig. Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör. Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen (min kursivering).

SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs:

Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården. Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå. Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen. SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex. indikatorer.

Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.

Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård. Dessa medel har bl.a. finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen. Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.

Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.

Utöver detta tillkommer de medel som medlemsorganisationerna tillför. Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har 440 byråkrater anställda och ett kontor i Bryssel i sin kansliorganisation. Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?

Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.

 

Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt:

I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör. I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL. Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen. Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex. kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.

En sammanfattande bedömning från Riksrevisionen är:

Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Riksrevisionen noterar att medlen till SKL ökar. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.

Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att

regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.

Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet. De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används. Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex. inte OSL gäller för en intresseförening. I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas. Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.

Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Hittills har jag trots en vänlig påminnelse inte fått något svar.

Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär. Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats. Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.

Tillägg 2020-02-20: För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk här.

Den opaka e-hälsan eller what are they building in there?

Ett obligatoriskt men till intet förpliktigande uttryck sedan länge är ”transparens”, ibland så flitigt använt att man riskerar att glömma bort hur viktigt det faktiskt är med öppenhet. Öppenheten är central för samhällsklimatet och delaktigheten men också för att kunna tillvarata den samlade kompetensen. I Sverige har vi varit gynnade av den unika institution som offentlighetsprincipen utgjort sedan 1700-talet och som visserligen på många sätt hotas men som fortfarande är ett omhuldat ideal.

Att få insyn i och i förlängningen möjlighet att påverka de stora samhällsfrågorna är det stora värdet med öppenhet för de offentliga verksamheter där offentlighetsprincipen ska tillämpas. Öppenhet är av samma skäl obekvämt för makthavare, det är liksom bekvämare om man får arbeta ostört och göra som man vill. Misstag behöver heller inte upptäckas och att slippa stå till svars för det ena och det andra är naturligtvis behagligt.

Sjukvård rankas som den viktigaste frågan av väljarna. I Sverige är sjukvården offentligt finansierad. Dessa två premisser sammantaget ger att ett stort mått av öppenhet i hanteringen av sjukvårdsfrågor borde vara en självklarhet. Tyvärr är inte så fallet när det gäller e-hälsa. Även för en som tämligen noggrant följt utvecklingen inom området i 25 år är det mycket svårt att få en överblick ens över hur området styrs. Då menar jag i form institutioner och presenterade inriktningar som rör sig på en konkret nivå.

Under de senaste tio åren har jag sett en rörelse där allt större inflyttande över e-hälsan flyttats över från staten och regionerna till SKL. Jag har tidigare skrivit om Inera som ändå fattat beslut om att följa offentlighetsprincipen trots att man inte är skyldig att göra det. Värre är det med SKL som är en arbetsgivarorganisation för regioner och kommuner. Trots den litet udda konstruktionen att man som intresseorganisation tillskjuts mycket stora offentliga medel från staten och man styrs av folkvalda politiker så har inte kravet på öppenhet följt med. Bristen på insyn blir mycket påtaglig när man ser på den beredning för digitalisering som tillsattes efter valet och består av politiker från regioner och kommuner. Det är alltså ett indirekt valt politiskt organ. Uppdraget är stort och spännande för den som är intresserad av e-hälsa:

Beredningen hanterar strategiska frågor om grundläggande gemensamma förutsätt­ning­ar för digital utveckling, exempelvis fråge­ställ­ningar kopplat till effektivisering genom digitalisering, automation och artificiell intelligens (AI), inno­vations- och förändringsledning, data som strategisk resurs, säker informations­hante­ring och nationell digital infrastruktur.

Vidare ska beredningen hantera rättsliga för­utsättningar för en digital samverkande förvaltning. I uppdraget ingår också att följa SKL-koncernens samverkan för att gemensamt stötta med­lem­marna i deras verk­sam­hetsutveckling med stöd av digitalisering.

Inte minst blir man ju sugen på att läsa mer om hur beredningen ska hantera de rättsliga förutsättningar efter SKL kanske inte helt klargörande insats angående molntjänster häromveckan där man inte ens nämner eSams rättsliga uttalande där man avråder från att använda molntjänster. Detta trots att SKL själva uppger följande i sin rapport:

Undersökningen från Radar visar att cirka 50 procent av kommunerna använder Microsoft Office 365 (MS O365) och att 100 procent av de större kommunerna använder denna tjänst.

Hur som helst blev jag intresserad av att ta del av beredningen för digitalisering har för arbete på gång, vilka frågor man ventilerade och vilka insatser som planerades. Detta visade sig vara en stängd dörr för när jag skickade dessa frågor till SKL:s presstjänst (de har ju inget diarium):

Jag skulle vilja  veta:

– vilka handlingar som finns relaterade till Beredningen för digitalisering

– vilka av dessa handlingar som jag kan få ta del av

fick jag följande, kanske väntade svar:

Hej!

Tack för att du kontaktar oss.

SKL är en intresse- och arbetsgivarorganisation och omfattas inte av skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen. Vi kan därmed inte hjälpa dig med din förfrågan.

Du kan läsa mer om SKL och vår organisation på vår webbplats.

Jag gjorde ett par försökt med kommuner och regioner, varav ett par med representanter i beredningen, om de fått in några handlingar men helt utan resultat. Ofrivilligt parafraserar jag Tom Waits gamla låt i huvudet och får en öronmask: what are they building in there?

Men det är inte bara att man faktiskt inte lämnar ut handlingar som är utestängande. När jag läser programmet till den Nationella e-hälsodagen 2019 med underrubriken

En dag. En vision. Oändliga möjligheter.

känner jag en lätt yrsel. Där kommer de usual suspects att prata om ungefär samma saker som vanligt på de otaliga konferenser som går av stapeln (även om jag känner ett visst intresse för den handlingsplan för 2020-2022 som ska diskuteras) medan många av oss andra känner en mycket stor oro för de många alarmerande händelser som tydligt visar att kostnaderna skenar för för e-hälsan och att nya mycket allvarliga säkerhetsbrister hela tiden avslöjas. Nu senast var det Region Skånes upphandling av ett nytt vårdinformationssystem där det avslöjas att det finns stora risker för både patientsäkerhet och integritet:

I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp. Riskanalysverktyget anses dessutom vara svårt att hantera.

Organisationskulturen i sig finns också med bland de identifierade bristerna. Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.

Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”. I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.

Naturligtvis fick jag inte ut någon rapport från Region Skåne när jag efterfrågade den utan ett listigt svar att någon sådan rapport inte fanns diarieförd. Min fråga:

Jag undrar då om en sådan rapport inte finns utan att CS blivit vilseförda eller om den finns men man valt eller missat att diarieföra den?

besvarades med att den sannolikt var ett internt arbetsmaterial.

Det mest deprimerande i detta är att upprepningstvånget. Trots att svenska sjukvården gång på gång råkar ut för stora säkerhetsproblem, trots ett antal liknande projekt i bland annat Finland och Danmark med miljardinvesteringar inte fungerar på ett säkert sätt så är det som denna information inte tränger i genom väggarna på den svenska e-hälsans fort. Att dessa fullkomligt vitala frågor inte tas upp på en konferens om framtidens e-hälsa gör att verkar som vi lever i två olika världar: verkligheten respektive e-hälsans utopia. Detta är inte en bra grund för ett mycket komplicerat samhällsutvecklingsarbete!

Den tystnadskultur som den interna rapporten som CS tagit del av pekar på en mycket central risk, nämligen tystnadskulturen som gör det omöjligt att föra fram risker eftersom man då avfärdas som negativ. För den som arbetar med säkerhet och vet hur betydelsefull en positiv säkerhetskultur är för ett fungerande säkerhetsarbete förstår på djupet hur destruktivt det här förhållningssättet är.

Tyvärr praktiseras samma förhållningssätt även på nationell nivå t.ex. konferensprogram av typen Nationella e-hälsodagen och när en företrädare för SKL på en konferens säger att ”det är mycket enklare att vara emot”, underförstått att resa rationella frågor uppfattas som fientligt. Jag kan möjligen förstå att SKL som lobbyorganisation jobbar med ensidiga marknadsföringsknep även om jag som skattebetalare inte skulle vilja se pengar som så väl behövs i vården gå till detta. Däremot tycker jag att myndigheterna borde nyktra till och kunna föra en diskussion där även nyanser är tillåtna. Jag tror alla kan stå ut med litet av den dåliga stämning som uppstår när folk visar sig ha olika åsikter. För säkerheten i framtidens e-hälsa är det nödvändigt att kunna prata om risker och reducera dem innan de lett till ett nytt och ett nytt och ett nytt haveri.

 

 

 

Inera tredje gången gillt

Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti. Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.

Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet. Detta dokument tycks ha ganska litet att göra med den policy som beslutades i juni och där informationssäkerhetsarbetets övergripande syfte anges vara att

främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.

De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om  patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.  Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”. Gemensamma för vem och framtagna av vem kan man undra. Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas. Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument. Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar. Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.

Riktlinje för informationssäkerhet Inera

En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation. Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken). Detta var också första gången på tre och ett halvt år som en uppdatering skedde.

Nog om detta lustiga sammanträffande. Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn. Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras. Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren:

För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd. För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.

Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för. För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster. Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven. Samtidigt skriver man t.ex. under 15.3.1. om en informationsägare som sannolikt är kunden.  Roller och begrepp är alltså inte konsistenta.

Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2. Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå. Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar. I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer. Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer. Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet. Igenkänningsfaktorn är hög. Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt. Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.

Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till  OSL 18 kap. 8 §:

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser

  1. byggnader eller andra anläggningar, lokaler eller inventarier,

  2. tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen,

  3. telekommunikation eller system för automatiserad behandling av information,

  4. behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling,

  5. den civila luftfarten eller den civila sjöfarten,

  6. transporter på land av farligt gods, eller

  7. hamnskydd.

kändes märkligt. Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds. På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer. Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering. Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt. Även detta är att starkt skäl att se över regelverket och styrningen i stort.

Om vi sedan tittar på de två övriga dokument jag fått ta del av:

Anvisning för informationsklassificering Inera
Anvisning för informations- och IT-säkerhet för medarbetare inom Inera

så går maskningarna i dessa sammantaget att räkna på ena handens fingrar. Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem. Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.

Min sammantagna bild är att Inera saknar ett sammanhängande systematiskt informationssäkerhetsarbete och att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet. Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt. Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.

Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital kommunikation. Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet? Finns det en risk att detta projekt hamnar i samma situation som den utredning om säker it-drift som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)? Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.

Möjligen har jag helt fel. Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av. Men samtidigt är det svårt att föreställa sig ett systematiskt informationssäkerhetsarbete där det inte finns en tydlig dokumenterad styrning. Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns. Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen. I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.

 

 

 

Kammarrätten har fällt sitt utslag

Den minnesgode kommer ihåg att jag bett att få se Ineras ledningssystem för informationssäkerhet, blivit nekad och hänvisad till Kammarrätt för att framföra mina besvär över detta, förloppet finns beskrivet här. Själv måste jag medge att jag fann Ineras agerande aningen besynnerligt. Om det nu finns styrande dokument för informationssäkerheten vid sidan om den A4 som utgör policy (vilket Inera hävdar) så förefaller det märkligt att varje ord i dessa dokument skulle utgöra en sådan betydande risk för Ineras säkerhet att de inte kan lämnas ut. För den som jag som arbetat med utlämnande av allmänna handlingar är väl bekant med rutinen att maska dokumenten så att de delar som bedöms som sekretesskänsliga inte kan läsas – ytterst sällan är dokumenten i sin helhet känsligt. Kanske har inte Inera upparbetat rutinen för maskning än men efter att ha läst Kammarrättens utslag så är det nog dags att komma igång med det nu.

Kammarrättens beslut

 

Jag är naturligtvis nöjd med utslaget och väntar nu på mina handlingar. Samtidigt väcker ju historien med Inera en hel del tankar. En är att vi alla är betjänta av största möjliga öppenhet om de regler gällande säkerhet som finns olika organisationer. Vi behöver lära av varandra och vi behöver närma oss mer av praxis både på branschnivå och i samhället i stort. Ett överdrivet hemlighetsmakeri skapar en negativ säkerhetskultur och förhindrar processen mot en nödvändig samsyn om hur styrningen av säkerhet bör utformas.

Ineras förhållningssätt pekar också på ett annat mer praktiskt problem, nämligen vikten av att utforma sin hierarki av styrande dokument rätt. Om man, som Inera tycks ha gjort, blandar principer,ansvarsfördelning och andra faktorer som bör kunna vara helt öppna i random organisation med detaljbeskrivningar av säkerhetslösningar, risker och sårbarheter har man ju skapat ett regelverk som knappast går att sprida ens internt och ännu mindre till externa parter som kunder.

En betydligt mer positiv erfarenhet var det att begära ut samma information hos eHälsomyndigheten där jag inte bara fick ta del av de handlingar som på ett övergripande sätt styr säkerhetsarbetet utan även en bild av de handlingar som är av mer känslig karaktär. Tyvärr bekräftades dock min bild av bristande styrning av säkerheten inom vården då två av de stora aktörerna inom svensk e-hälsa inte har ett gemensamt regelverk. Detta är en mycket stor fråga som måste lösas innan vi kan säga att vi är på väg mot en säker e-hälsa.

Integritet, äganderätt och digital valfrihet

Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den. Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.

När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror. Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om här. Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.

Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer. Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva. Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex. för att ge oss rätt vård. Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling. En snabb och hårdragen exposé skulle kunna se ut som följer. I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid. Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.

Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten. Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård. Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem. Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv. Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta  erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.

Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället. Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården. Om vi tar det aktuella exemplet Region Stockholms Centrum för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet. Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare. Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller oljan   kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.  Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.

Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där sjukvårdspolitiker inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna. En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster. Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras. Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården. I ovan refererade debattartikel  förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning? Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten. När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser. Nu ska man sälja hälsodata till ”självkostnadspris”. Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?

Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation. Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen. Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten. Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras. Exempelvis kryssa i ett formulär med alternativ som

Mina patientuppgifter får användas:

  • endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering
  • utöver ovanstående även akademisk forskning där resultaten kommer samhället till del
  • utöver ovanstående även akademiskt forskning i kommersiell regi
  • för kommersiellt bruk oavsett bransch

Till detta kan läggas verklig anonymisering som alternativ på samtliga val. Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.

Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det. Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan ifrågasättas.  En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran. Tanken svindlar för vilka möjligheter som skulle kunna öppnas. Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.

Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.