Distansarbete och informationssäkerhet under coronapandemin

Jag blev ombedd att vara med som expert i en chattpanel rörande den nu så aktuella frågan distansarbete. Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete. Den organisation som tagit fram (samt övat) en fungerande kontinuitetshantering och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu. För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå. Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas. För processerna är informationen en central resurs. Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer. Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder. Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.

  1. Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en prioritering måste ske. Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant. Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
  2. När prioriteringen bör en snabb processkartläggning göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s. vilka system, tjänster eller andra bärare som telefoni och papper som används. Därefter görs en informationsklassning/riskanalys för att fastställa säkerhetskrav. Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
  3. It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån  klassningen/riskanalyserna och kontrollera it-säkerheten i dessa lösningar. I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt. Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs. Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
  4. Börja planera och bemanna en supportfunktion som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp. Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder. Bristande support är därför ett garanterat säkerhetsproblem.
  5. Kommunicera redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas. I kommunikationen bör även ingå signaler som kan leda till en positiv säkerhetskultur som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till. Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
  6. Ta fram über-tydliga instruktioner till medarbetarna där det bland annat framgår:
    – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad
    – hur pappersdokument ska hanteras
    – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation
    – att arbetsgivarens utrustning bara får användas för arbetsändamål
    – att privat utrustning inte får användas för att hantera arbetsgivarens information
    – att telefonsamtal bör ske på ett skyddat sätt
    – vilka verktyg som ska användas
    – hur de ska användas
    – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet)
    – vem som ska kontaktas för support
    – vem som ska kontaktas för säkerhetsrelaterade frågor
    – hur incidenter ska rapporteras
  7. När man kan räkna med att distansarbetet blir långvarigt bör även den fysiska säkerheten gås igenom. Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
  8. Skapa rutiner för uppföljning där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter. Uppföljningen bör rapporteras till ledningen.
  9. Planera för uthållighet. De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker. En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt. Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
  10. Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en resurs för framtiden. Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

SKR, myndigheter och sekretessen

Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se föregående inlägg.

För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening. Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen. SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.

Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna. Häromdagen fick jag detta exempel mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda:

En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

– Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen. Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med. Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen. Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.

Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna. Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara. En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?

Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet. I mitt förra inlägg framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas. Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras. När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan). Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex. gällande samhällsviktig verksamhet. Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.

Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar. Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden. För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.

Enligt mitt resonemang är det alltså  en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar. Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR. Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Efter tämligen lång tid och en påstötning fick jag följande svar:

Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.

Genom en sökning i vårt diarium har vi hittat två avtal med SKR:

  • Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779)
  • Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap. 2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

Du har rätt att begära ett skriftligt beslut som går att överklaga. Skriv till registrator@msb.se.

För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på avtalet angående krisberedskap. Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR. Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens beredskap medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga. Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .

Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya e-hälsostrategin (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv. Från denna myndighet fick jag bara ett kort nej på frågan.

Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess. Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.  Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena. Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör. Detta även då det gäller informationssäkerhet. Nyligen skickades ett mail ut från SKR:

Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.

Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.

Dessutom blir det en hel del ny funktionalitet, t.ex.:
– En ny modul för att mäta organisationens mognad,
– Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp,
– Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå,
– Stöd för CISO i det systematiska arbetet och
– Modul för riskanalys.

Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa. Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa. Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.

Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys! Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.

Det är dags för en mer omfattande diskussion om SKR:s roll. Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor. Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.

 

 

 

 

Arkivutredningen: Härifrån till hit eller det är många ”skall” som blivit ”ska”

Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ”Härifrån till evigheten” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver. Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.

Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning. Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag. Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land). Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.

Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor. Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”. Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet). När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft. En mer rimlig utredningstitel hade varit ”Härifrån till hit”.

En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat. I dagens arkivlag står:

Myndigheternas arkiv är en del av det nationella kulturarvet.

Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser
1. rätten att ta del av allmänna handlingar,
2. behovet av information för rättskipningen och förvaltningen, och
3. forskningens behov.

I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet. Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen. För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne  behandlas inte alls. Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses. Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp. Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram. De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor. Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!

Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande. Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer. Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa. Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt. Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar. Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den. I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad. Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen. Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt. Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen? Även här tror jag kulturarvskulturen (!) spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen. Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.

Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt. Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar. Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar. En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen. När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.

Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen. Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin. Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.

Ofta blir utredningar fångar i sitt uppdrag. Orsakerna till detta kan vara flera. En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra. Jag kan inte se att detta gäller arkivutredningen. Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång:

En särskild utredare ska göra en bred översyn av arkivområdet. Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.

•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner,

•se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området,

•analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning,

•analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och

•analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet

•lämna nödvändiga författningsförslag.

Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden. Smaka på det syftet. Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.

Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer. Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt. En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med  metodutveckling och effektiv rådgivning. Riksarkivet vill t.ex. kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet. Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.

Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex. i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något. Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen:

Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya. Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.

Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt:

Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.

Jag delar helt den uppfattningen. Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller. För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.

Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG. Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och  DIGG ska leva tillsammans. Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll. DIGG ska å sin sida föreslås fortsätta:

samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet

FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering. Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering. Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering. Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.

Häri ligger av de andra stora konflikterna inom arkivområdet. Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas? Eller ska arkivarierna t.o.m. vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet? Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen  för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet. Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt. Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling. Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt). Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).

För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet. Ordet ”informationssäkerhet” nämns nio (9!) gånger i hela utredningen och då bara en passant. Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten. Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare. Samma sak gäller dataskydd.

Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden? I detta sammanfaller alla de brister som jag tidigare pekat på. Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering. Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”? Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den. Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas. Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande. Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt. Att även Härifrån till evigheten är som en kompass utan visare ska kanske därför inte dömas för hårt. Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt. Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden. Detta gör att övriga arkivfrågor i min värld framstår som petitesser.

 

 

 

Prick-till-prick-teckning på samhällsnivå

Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love. Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil. Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv. Redan tidigt i boken finns följande passus:

Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd. Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till. Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.

Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv. Så är det ju ofta med god litteratur, den lever vidare inom en. Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband. Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.

Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig förvaltning . Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte. Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område. Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten:

Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF). Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.

Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.

Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur. Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt. Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt. Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.

Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet. MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit här) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter. Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail:MSB 2019-09569-1 Kommentarer på slutrapport Uppdrag om säkert och effektivt informationsutbyte

Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt. Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning. Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.

Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning. I detta dystra scenario är det inspirerande att snegla österut. I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning. I propositionen som låg till grund för lagen ges inriktningen:

Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn. Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet. Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen. Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem. Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt. Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.

Lagen träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet. I dagarna har även en ny cyberstrategi antagits.

För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar. I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen. De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete. På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.

Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.

 

 

 

Vårt behov av autenticitet

Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade. Förra gången utredningsväsendet, nu behovet av autenticitet. Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK! Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.

Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen. Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet. Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar. Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat. Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet. Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema (Om informationstekniskt bevis av Jonas Ekfeldt). De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 Juridik som stöd för förvaltningens digitalisering där ordet autenticitet finns med två (!) gånger på 562 sidor. Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext. Det enda glädjeämnet är en tio år gammal text av Kenneth Hänström, numera landsarkivarie i Härnösand.

Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner. Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder. Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar. Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan. Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska. Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition:

  • Att handlingen visar att den är vad den utger sig för att vara,

  • Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen

  • Att handlingen blivit skapad eller inskickad i den angivna tiden

Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor. Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet. Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte. Som att autenticitet på något vagt sätt har med post att göra. Som att autenticitet är knuten till en enskild person.

Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre. Där uppges följande:

autenticitet authenticity äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll

Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering. Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt

Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter. I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet. Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning. Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin):

riktighet integrity skydd mot oönskad förändring

Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information. Jag har svårt att förstå denna prioritering mellan begreppen. Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans. Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.

Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet. Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts. När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv. För att inte tala om AI och deep fake.

Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så? Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a. många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s. att information i ett system ska skyddas mot förändring. Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning. Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende. Synd tycker jag vilket jag skrivit om här.  Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet. Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma. Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.

Hur ser då detta behov ut? Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”. För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är giltig vilket också kan formuleras att den har ett bevisvärde. Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid. Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v. Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip. Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel. De första sedlarna var egentligen kvitton på insatta medel hos en bank. Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller. För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst. Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.

Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer. Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v. De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde. I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts). Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.

Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder. Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal. Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet. Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.

Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt. Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare. Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder. Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet…. Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.

I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas. Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex. Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt. Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut. Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan. Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten. Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management. För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten. När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.

Är informationsklassning verkligen sååå viktigt?

Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m. ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”. Svaret är ja, det har jag och till och med skrivit på bloggen här .  Sedan dess har det skett en viss uppdatering men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget. Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).

De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa. Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga. Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten:

Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang. Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.  Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna. Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas. Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail. I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.

Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera. Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m. med en statlig verksamhet oavsett omfattning.  Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).  Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.

Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering. Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.

Det fragmentiserade synsättet går igen i de metoder som presenteras. Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten. Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer. I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet. Det är ungefär som att i vägtrafiken låta  varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna. Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag. När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.

I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning. Omättligt krävande som jag är vill jag nu lägga till två ytterligare.

För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.

För det andra ingå i en större helhet av systematiskt informationssäkerhetsarbete – att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande. Särskilt inte om skyddsnivåerna har stora brister. Informationsklassning är helt enkelt inte sååå viktig i sig.

Men inte ens då tror jag att detta är en särskilt bra väg att gå. Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod. Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar. Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning. Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå. Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet. En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet. Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas. Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.

Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional. Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.  Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke. Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ett systematiskt informationssäkerhetsarbete bygger på en samverkande helhet av säkerhetsåtgärder.

 

E-hälsans landskap 2

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många. Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”. Ganska svårt skulle jag vilja säga vilket även Trump upptäckte.

Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.

För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.). Bilden är ett försök beskriva samspelet. Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer. Två saker är slående.

Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer. Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.

Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig. Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen. Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga. Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen. Riksrevisionen har pekat på detta i en rapport  gällande den generella styrningen på vårdområdet. Inom e-hälsoområdet är problemen med detta mycket tydligt. En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation. Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen. Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar. Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser. Jag skickade även ett mail till SKL:s infoadress den 24 juli:

Hej!

Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen. Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare. Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha? Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering. Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?

Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.

I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta. SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen. Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.

Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt. Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den vision som delas av regeringen och SKL. Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en handlingsplan som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål. Det är långt till verkstaden om man säger så.

Vad leder detta till i praktiken? Ett bra exempel är  hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats. För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge,  se patientjournallagen (SFS 1985: 562).

16 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

E-hälsofrågan i det hela handlar mer om på vilket sätt patienten kan del av journalen. Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”. Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig. Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet. Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att läsa journalen.

Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att alla patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ. Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s. de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer. Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta…  Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium. Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).

För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter. Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.

Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur. Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav. Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.

Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare. Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter. Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet. Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen. Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.

Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården. Även detta är en god illustration av läget.

Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.  Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas. En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut. Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”. Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar. Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde. Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.

Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes. Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det. Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen. Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja. Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts. Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder:

Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet. Ett villkor som satts upp för den sammanhållna journalföringen:

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig. Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till all vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.  Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten? Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare. I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.

Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar. Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst. Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar. När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”. Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.

Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare. På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de:

”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ. Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera. Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.”

Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen. Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter. Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden. Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.

Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet. I ännu högre grad påverkas effektivitet,  patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra uppmärksammat.  

Vad blir då kontentan av allt detta? Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför). Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.  Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart  oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.  Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin. Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.

Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren. Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda. Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt. Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.

Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen):

  • Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
  • Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta
  • En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
  • En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa. I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex. ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
  • SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen. Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter
  • Utred möjligheten att införa en lösning liknande den norska Normen för informationssäkerhet i den svenska vården. Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar. MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
  • Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

Puh! Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan. Säkert har jag missuppfattat eller vantolkat en massa saker. Mitt enda försvar är att jag efter bästa förmåga försökt måla upp en bild av e-hälsa.  Förhoppningsvis kan  dessa långa inlägg stimulera andra att dela sina bild av samma frågor.

E-hälsans landskap

I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen. För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation. I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen. Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.

Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker. Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen. I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.

Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.

Den svenska vården är i huvudsak offentligt finansierad via skattemedel. Det regionala sjukvårdsvårdshuvudmännen ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen. Men landstingen och regioner behöver inte själva vara utförare av all vård utan vårdgivare kan även vara privata. Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag). Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m. riktas mot vårdgivarna och inte sjukvårdshuvudmännen. När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.

Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera. För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer. En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen. Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel. Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske. Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda. Den utredning som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske . Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att alla får den vård de vill ha). I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem. En hårdvinklad beskrivning men ni förstår vad jag menar. Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen. Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.

En annan viktig negativ faktor är SKL:s förändrade roll. SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s. att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare. Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan. Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete. SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.

Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna. Den nära alliansen mellan politiken och e-hälsoföretagen känns inte helt betryggande för det kommande. I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året. Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.

Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s. sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits. Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat. Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet. Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.  I detta delar jag uppfattningen i följande artikel om floden av åsikter.

Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras. Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården. När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus! Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.

Hur kunde man lyckas med denna infrastrukturella revolution? En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar. Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån. I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet. Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här debattartikeln.

I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen. Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården. Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas. Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen. Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet. Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar. Idag är situationen radikalt annorlunda. En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården. Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor. Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.  Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m. läst meningar som att ”regeringen bör SKL i uppdrag …”.

Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör. När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink. Nu finns både eHälsomyndigheten och Inera m.fl. som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen. Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.

En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring. Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid. Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.

I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana. Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?  Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk. Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt. Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation. Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex. För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”. För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.

Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag. Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv. I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar. Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas. Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen. Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang. Det har vi inte råd att låta den fortsätta vara.

Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa. Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden. Och glöm inte forskningen!

Gästinlägg: Med klassificeringsstrukturen som bas

Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun.

”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo. Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget. Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.

Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare. I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar. Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.

I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare. Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem. Denna intention stöder jag för övrigt till fullo!

Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar. Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.

Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling. Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan. Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB). Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten. Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.

Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll. Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv. Många av de krav som ställs från respektive håll är trots allt överlappande. Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer.

I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903. Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet. Därför har jag tagit fram följande grafiska presentation.

Läs mer

En notering i marginalen om kontroll över informationen

Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it-drift.

Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras. En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information. För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.

För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen. De allmänna handlingarna ska vara redovisade och snabbt återsökbara. I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.

Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan. Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.

I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.) som måste tillgodoses.

Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering. De planer jag sett är ofta antingen fragmentariska (d.v.s. omfattar endast delar av verksamhetens informationshantering) eller inaktuella. Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.

Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga. Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet. Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier! I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.