Integritet, äganderätt och digital valfrihet

Ibland behöver vi ta ett steg tillbaka och betrakta en till synes fast definierad problemformulering på litet avstånd för att se om det är ett tillräckligt bra sätt att förstå en viktig fråga eller om det kanske finns andra sätt att betrakta den. Jag ska nu göra ett försök att vidga frågan om integritet i förhållande till vårdinformation i synnerhet men även till den information som skapas och bearbetas i offentliga verksamhet i allmänhet.

När vi pratar om den personliga integriteten idag handlar det i de flesta sammanhang om teknik som åtkomst till personuppgifter i it-system eller övervakningskameror. Jag tror att detta är en alldeles för begränsade problemformulering när vi ser hur personuppgifter är det högoktaniga bränslet för multinationella företag som jag skrivit om här. Samma fenomen beskrivs i den mycket välförtjänt hyllade och lästa Konsulterna av Anna Gustafsson och Lisa Röstlund.

Vår nuvarande inställning bygger på att obehörig åtkomst till uppgifterna skulle skada vårt anseende, att intima uppgifter om oss själva skulle bli kända för ”fel” personer. Det är en rättighetstradition som bygger på tanken att vi har en rätt till en privat sfär och även till att kontrollera ”bilden” av oss själva. Det är i min mening en alldeles rimlig uppfattning att känsliga uppgifter om oss endast ska vara åtkomliga för de som verkligen behöver dem, t.ex. för att ge oss rätt vård. Det är också en inriktning som fungerat i den svenska vården sedan patientjournalerna övergick från att vara räkenskapsmaterial till att bli stöd för vård och behandling. En snabb och hårdragen exposé skulle kunna se ut som följer. I och med att den svenska vården till sin absoluta merpart varit offentligt finansierad och offentligt utförd under i princip hela 1900-talet har vårdinformationen varit allmänna handlingar som ägts av vårdgivaren och i väsentliga delar bevarats i och med att sjukvårdshuvudmännen (landsting/regioner) har åtagit sig att bevara alla läkarförda journaler för all framtid. Förutom att detta förhållande har gynnat patienterna som kunnat få vård grundad på vederhäftig information har det gett Sverige ett unikt forskningsläge med tillgång till en hel befolknings data om hälsa och vård i ett välordnat system.

Förutom att det är lätt glömma bort att vi faktiskt haft mycket väl utvecklad hantering av patientdata i över ett sekel är det också lätt att glömma bort att detta bygger på ett samhällskontrakt som kan ses som en del i den svenska välfärdsstaten. Ungefär: högkvalitativ vård och en avancerad forskning finansieras via skatten och dina vårduppgifter används för att ge dig själv och andra patienter bättre vård. Förutsättningen för kontraktet var 1) att patientuppgifterna användes för etiskt prövad akademisk forskning och 2) att patientuppgifterna omgavs med sekretess och att det fanns hög grad av spårbarhet i vilka som tagit del av dem. Jag vet att så fort man säger eller skriver att patientuppgifterna omgavs med höga krav på sekretess så kommer det alltid ett antal människor rusande och återger hårresande berättelser från gamla journalarkiv. Min utgångspunkt är vad lagstiftning i form av bland annat patientjournallagen betonade och studier som gjorts av journalhantering under 60-80-talet samt de mycket konkreta  erfarenheter jag har av praktisk journalhantering samt sekretessmedvetande från ett antal år i olika typer av vårdverksamheter.

Personligen har jag tycket att detta varit ett bra samhällskontrakt som bygger på ett stort mått av tillit och har ofta argumenterat emot dem som menat att patienten själv ska äga sin journal eftersom det, enligt mig, skulle leda till stora nackdelar både för patienten och för samhället. Tyvärr har jag varit tvungen att börja ompröva detta efter de senaste decenniernas digitalisering inom sjukvården. Om vi tar det aktuella exemplet Region Stockholms Centrum för hälsodata liksom NKS intention att lämna ut stora mängder patientdata via BCG till amerikanska företag måste vi kanske övergå till ett annat sätt att se på integritet. Kanske måste vi lämna den traditionella svenska uppfattning och se på integritet som en äganderätt vilket är ett synsätt som varit etablerat i mer konservativa tanketraditioner som exempelvis Nozick med efterföljare. Det skulle i detta alltmer kommersialiserade sammanhang där personuppgifter blivit guldet eller oljan   kunna tolkas som att din äganderätt av dig själv också innebär att du också äger den eftertraktade resursen som dina personuppgifter utgör.  Om du äger uppgifterna måste också ha rätten att avgöra hur de får användas utöver exempelvis vad vården kräver.

Detta är ett synsätt som går emot den rådande trenden inom svensk sjukvård där sjukvårdspolitiker inte ens tycker de mycket begränsade möjligheter till samtycken ska få finnas kvar utan hanteringen av personuppgifter ska ske långt över huvudet på patienterna. En randanmärkning är att sjukvårdspolitiker och SKL inte riktigt tycks acceptera gällande lagstiftning som den gällande spärrar, integritet eller molntjänster. Istället för att inrätta sina verksamheter så att de följer lagstiftningen lägger man all energi på att argumentera för att lagstiftningen ska ändras. Det känns inte som allt igenom konstruktivt förhållningssätt och min uppfattning är att detta är en delförklaring till den haltande digitaliseringen av vården. I ovan refererade debattartikel  förefaller inriktningen vara att patientuppgifterna generellt liksom i centret för hälsodata få användas för random ändamål för var går gränserna för ändamål som exempelvis life science, kvalitetsutveckling och uppföljning? Det är aningen förbryllande att de politiker som kallar sig liberala tycks minst intresserade av liberala värderingar och individers rättigheter utan har en närmast kinesiskt touch i synen på relationen mellan individ, kapital och staten. När jag läser om Centrum för hälsodata tänker jag också hur Region Stockholm ständigt upprepade bristande affärssinne som i utförsäljningar av allmän egendom till totala underpriser. Nu ska man sälja hälsodata till ”självkostnadspris”. Varför ska kommersiella företag inte betala marknadspris för den råvara som personuppgifterna utgör?

Även om det i mina ögon är en olycklig utveckling inte minst för den medicinska forskningen vill jag ändå pröva tanken på hur det skulle se ut om vi ägde vår egen patientinformation. Det finns liksom ingen fördel för svenska patienter att lämna data till amerikanska försäkringsbolag eller som stöd till företagen i det som Zuboff kallar den multinationella övervakningskapitalismen. Om vi ska ersätta tillitsbaserade relationer med kommersiella måste detta ske på ett sätt som inte bara gynnar den ena parten. Vi skulle kunna laborera med möjligheten till en digital valfrihet där man som patient fick en äganderätt till sina patientuppgifter och därmed kunna bestämma över hur de får hanteras. Exempelvis kryssa i ett formulär med alternativ som

Mina patientuppgifter får användas:

  • endast för min vård, den uppföljning är lagstadgad och tydligt definierad administrativ hantering
  • utöver ovanstående även akademisk forskning där resultaten kommer samhället till del
  • utöver ovanstående även akademiskt forskning i kommersiell regi
  • för kommersiellt bruk oavsett bransch

Till detta kan läggas verklig anonymisering som alternativ på samtliga val. Patienten kanske ska erbjudas möjligheten att få ta ut ersättning då personuppgifterna säljs till kommersiella aktörer och då inte ”självkostnadspris” utan ett reellt pris.

Detta tror jag vore ett bra sätt att återföra makten till patienten, sätta till press på sjukvårdshuvudmännen att ta frågan på allvar och att utveckla privacy by design vilket ju är ett lagkrav för de som glömt bort det. Ett annat resultat vore möjligen också att patientföreningar som representerar patientens olika intressen kunde bildas och utgöra ett komplement till de patientföreningar vars oberoende kan ifrågasättas.  En ny sorts patientföreningar skulle kunna bli förhandlingspartners och förhandla fram bättre priser än självkostnadspris för råvaran. Tanken svindlar för vilka möjligheter som skulle kunna öppnas. Resonemanget om en digital valfrihet för individen kan med fördel även tas in i diskussionerna om öppna data.

Jag är inte säker på om jag håller med mig själv men jag tror vi som verkligen är intresserad av den personliga integriteten måste börja fundera på hur vi ska kunna hitta verktygen i en ny tid.

 

E-hälsans landskap 2

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många. Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”. Ganska svårt skulle jag vilja säga vilket även Trump upptäckte.

Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.

För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.). Bilden är ett försök beskriva samspelet. Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer. Två saker är slående.

Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer. Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.

Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig. Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen. Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga. Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen. Riksrevisionen har pekat på detta i en rapport  gällande den generella styrningen på vårdområdet. Inom e-hälsoområdet är problemen med detta mycket tydligt. En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation. Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen. Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar. Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser. Jag skickade även ett mail till SKL:s infoadress den 24 juli:

Hej!

Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen. Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare. Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha? Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering. Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?

Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.

I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta. SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen. Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.

Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt. Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den vision som delas av regeringen och SKL. Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en handlingsplan som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål. Det är långt till verkstaden om man säger så.

Vad leder detta till i praktiken? Ett bra exempel är  hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats. För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge,  se patientjournallagen (SFS 1985: 562).

16 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

E-hälsofrågan i det hela handlar mer om på vilket sätt patienten kan del av journalen. Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”. Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig. Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet. Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att läsa journalen.

Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att alla patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ. Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s. de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer. Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta…  Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium. Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).

För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter. Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.

Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur. Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav. Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.

Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare. Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter. Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet. Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen. Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.

Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården. Även detta är en god illustration av läget.

Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.  Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas. En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut. Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”. Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar. Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde. Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.

Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes. Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det. Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen. Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja. Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts. Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder:

Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet. Ett villkor som satts upp för den sammanhållna journalföringen:

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig. Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till all vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.  Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten? Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare. I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.

Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar. Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst. Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar. När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”. Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.

Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare. På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de:

”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ. Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera. Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.”

Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen. Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter. Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden. Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.

Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet. I ännu högre grad påverkas effektivitet,  patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra uppmärksammat.  

Vad blir då kontentan av allt detta? Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför). Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.  Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart  oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.  Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin. Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.

Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren. Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda. Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt. Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.

Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen):

  • Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
  • Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta
  • En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
  • En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa. I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex. ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
  • SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen. Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter
  • Utred möjligheten att införa en lösning liknande den norska Normen för informationssäkerhet i den svenska vården. Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar. MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
  • Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

Puh! Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan. Säkert har jag missuppfattat eller vantolkat en massa saker. Mitt enda försvar är att jag efter bästa förmåga försökt måla upp en bild av e-hälsa.  Förhoppningsvis kan  dessa långa inlägg stimulera andra att dela sina bild av samma frågor.

E-hälsans landskap

I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen. För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation. I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen. Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.

Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker. Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen. I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.

Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.

Den svenska vården är i huvudsak offentligt finansierad via skattemedel. Det regionala sjukvårdsvårdshuvudmännen ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen. Men landstingen och regioner behöver inte själva vara utförare av all vård utan vårdgivare kan även vara privata. Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag). Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m. riktas mot vårdgivarna och inte sjukvårdshuvudmännen. När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.

Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera. För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer. En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen. Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel. Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske. Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda. Den utredning som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske . Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att alla får den vård de vill ha). I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem. En hårdvinklad beskrivning men ni förstår vad jag menar. Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen. Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.

En annan viktig negativ faktor är SKL:s förändrade roll. SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s. att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare. Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan. Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete. SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.

Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna. Den nära alliansen mellan politiken och e-hälsoföretagen känns inte helt betryggande för det kommande. I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året. Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.

Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s. sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits. Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat. Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet. Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.  I detta delar jag uppfattningen i följande artikel om floden av åsikter.

Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras. Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården. När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus! Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.

Hur kunde man lyckas med denna infrastrukturella revolution? En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar. Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån. I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet. Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här debattartikeln.

I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen. Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården. Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas. Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen. Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet. Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar. Idag är situationen radikalt annorlunda. En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården. Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor. Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.  Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m. läst meningar som att ”regeringen bör SKL i uppdrag …”.

Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör. När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink. Nu finns både eHälsomyndigheten och Inera m.fl. som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen. Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.

En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring. Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid. Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.

I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana. Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?  Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk. Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt. Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation. Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex. För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”. För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.

Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag. Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv. I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar. Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas. Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen. Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang. Det har vi inte råd att låta den fortsätta vara.

Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa. Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden. Och glöm inte forskningen!

En vecka efter den 25 maj 2018

Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft. Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst Hälsa för mig . För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.

Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra. En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten. Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig. Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m. Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5  men hela serien rekommenderas naturligtvis!).

Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar. Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera. Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.

Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården. I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker. Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning. Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr. Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.

Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad måste vi göra?” – som för att hitta miniminivån. Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad bör vi göra för att uppnå en god integritet?”. Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav. Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet. Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet eller integritet utan om patientsäkerhet och integritet skulle i så fall falla ut som ett självklart mål.

Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt. Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m. där jag funnits med i utkanten har jag sett den typen av beskrivningar. Det samma gäller för övrigt för e-förvaltning och digitalisering. Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.

Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena. Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen. Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster. I mitt hemlandsting finns denna information som visserligen är korrekt men knappast begriplig för den vanliga patienten.

I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet. Varför skulle inte samma inriktning tillämpas på integritetsfrågan? Jag har därför några förslag som skulle kunna stärka patientens ställning.

Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer. Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå. Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras. Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m. i en planerad utveckling. Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter. Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan. Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet. I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s. där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.

Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal. Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen. Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s. att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är. Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient. Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.

Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan 2010 (här vädras verkligen gamla käpphästar).  Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.  Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten. Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?

Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.

Dystopihyllan eller tillit och tyranni

En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen. Så populär är den dystopiska genren för barn att den kräver en egen hylla. Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?

Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand. Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen. Undersökningar liknande den här ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.

Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier. Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen. Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor. Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.

Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld. Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.  Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga. De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni. On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft. Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet. On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt. Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick. Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt. Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.

En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.  Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit. Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på tillit”. Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s. tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram. Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas. Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.  En uppfordrande maning från Snyder som känns  omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner:

It is the institutions that helps us to preserve decency. They need our help as well. Do not speak of ”our institutions” unless you make them yours by acting on their behalf. Institutions do not protect themselves. They fall one after the orher unless each is defended from the beginning. So choose an institution you care about – a court, a newspaper, a law, a labour union – and take its side.

Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt. Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv. Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar. Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra. Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar. Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras. Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.

Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning. Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer. Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället. De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet. Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor. Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft. I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar. Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.

Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten. Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden). Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex. som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd. Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet. Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten. Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte. Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister debattartikel . Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring). För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den. Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.

Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel. Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården. Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och. Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit. Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i december . Rapportens syfte är att beskriva Befolkningens inställning till nytta och risker med digitala hälsouppgifter till vilket man haft stöd i enkätundersökning. Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara. Ett exempel på bakgrund:

Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter. Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus. Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig. Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal. Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.

Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling. Samtidigt beskrivs den obehöriga åtkomsten som ett undantag

Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.

trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag. När respondenten får frågor som om Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler? gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses. Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död:

Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll? a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?

istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.

Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden. En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som:

Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst? Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.

Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet. Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad. Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.  Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav. Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten:

Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.

utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten. Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit. Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts. För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.

Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder. Ett uppenbart exempel är övervakningskameror. Vetenskapligt finns det svaga belägg för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus. Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden. Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation. Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna. Inget av dessa tre alternativ skapar en större tillit i samhället. De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder. Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst alltid är viktigare.

Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet. Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier. Den intresserade kan börja med Bo Rothstein och sedan gå vidare.  Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen. Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har. För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten. Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga. Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information. Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av  grävande journalister nyligen.

Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar. Men även källkritik måste utgå från rimliga värderingar som ger tillit. För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna. Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas. Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk propaganda . Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.

Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.  En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället. Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati. Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel. Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.

Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten. Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter. Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.

 

Att svära i kyrkan

I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.

För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.

MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:

  1. störning i mjuk- eller hårdvara,

  2. störning i driftmiljö,

  3. informationsförlust eller informationsläckage,

  4. informationsförvanskning,

  5. hindrad tillgång till information,

  6. säkerhetsbrist i en produkt,

  7. angrepp,

  8. handhavandefel

  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller

  10. annan plötslig oförutsedd händelse som lett till skada (3 §).

Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.

Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).

I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:

incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem

Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:

  • Energi (elektricitet, olja, gas)
  • Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:

med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,

så det finns kanske hopp om en praktisk samverkan.

Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:

14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.

Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?

Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:

  • Initiera akut felavhjälpning
  • Inleda återställelsearbete (kontinuitetshantering)
  • Ge underlag för långsiktig förbättring
  • Rapportering internt och externt
  • Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort

Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.

Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:

Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.

Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.

Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.

Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.

Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?

 

 

En nationell styrmodell del 1

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter. Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån. En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig. Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar. En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare. Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.

Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras. Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.  I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas. Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.

Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen. Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas. Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning. Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda. Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.

En annan premiss är att informationssäkerhet inte är en fråga. Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner. En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten. Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet. Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga. För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och cybersäkerhetsområdet. I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem. Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder. Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord. Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta:

Paragrafen genomför artikel 14.1–2 i NIS-direktivet. Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys. Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga integriteten.

Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.

Security and privacy are essential for the digital economy to continue to serve as a platform for innovation, new sources of economic growth and social development. The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital world.

Informationssäkerhet är alltså en mädchen für alles från totalförsvaret till den enskildes säkerhet vid e-handel. Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad. En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet. Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat. Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem. Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.

Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser. Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar. De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi. Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning. Men inte bara de explicita målen för it-politiken spelar roll. Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering. Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken. Mycket påtagligt präglar det den lätt förvirrade strategin för digitalisering.

Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden. Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn. Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag. Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”. En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser. Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.

Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut. Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.

 

Vad vill Liberalerna?

Jag kan faktiskt inte släppa den här debattartikeln från Liberalerna, undertecknad av bland annat en utmanare om partiledarposten. Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården. För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.

Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg. När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.

Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården. Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen. Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar. Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.

Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt. Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt. Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som här:

”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning. Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans. När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring. Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.

och här för att ta två färska exempel.  Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält. Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen. Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.

Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området. Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor. Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem. Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje? Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?

Tyvärr är nog inte Liberalerna ensamma om denna vinglighet. Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.

Vilse på digitaliseringens hav (1)

Jag började skriva om konstruktiva vägar framåt men kände att det behövdes litet food for thought för att konkretisera när informationssäkerhetsarbetet inte fungerar. För att göra problembilden angelägen tänker jag i det här inlägget skriva om den pågående digitalisering som det fästs mycket stora förhoppningar vid både inom e-förvaltning och e-hälsa. Regeringens inriktning är att effektiviteten ska sporras, pengar ska sparas och tillgängligheten öka för både medarbetare och allmänhet genom digitalisering samt att Sverige ska bli bäst i världen på digitalisering. Den nationella vinnarskallen går även igen på e-hälsoområdet där regeringen och SKL tillsammans i skriver i sin Vision e-hälsa 2025:

År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Premissen för det följande resonemanget är att om regeringens målsättning ska kunna uppnås måste digitaliseringen ske med hänsyn till den personliga integriteten och med stöd av ett systematiskt informationssäkerhetsarbete. Detta är inte min personliga uppfattning utan den analys som både OECD och ENISA gjort angående digitalisering; informationssäkerhet och skydd av integriteten är förutsättningen för att det goda vi (och regeringen) vill ha ut av digitaliseringen ska bli verklighet.
Det är alltså tre ”klossar” som ska byggas ihop för en fungerande digitalisering. Klossarna har olika status där digitaliseringen är det rationella syftet, integriteten en rättighet och informationssäkerheten en stödfunktion. För den offentliga verksamhetens digitaliseringen sitter regeringen med kontroll över alla tre klossarna. Man har utsett kommittéer, kommissioner och skapat myndigheter som E-delegationen, Digitaliseringskommissionen, E-legitimationsnämnden och eHälsomyndigheten för att stimulera och styra digitaliseringssträvandena. Även för värnet att den personliga integriteten finns en myndighet som Datainspektionen och kommittéer som exempelvis Integritetskommittén . Slutligen finns samma typ av statliga institutioner när det gäller informationssäkerhet som bland annat MSB och ett antal statliga utredningar om informationssäkerhet det senaste decenniet.
Men trots denna kontroll över medlen, hur lyckas hopfogandet av klossar? För pröva detta utgår jag från två aktuella exempel på myndighetsutövande; eHälsomyndigheten och Digitaliseringskommissionen. I detta inlägg hinner jag med endast eHälsomyndigheten men jag återkommer med Digitaliseringskommissionen i nästa inlägg.
Ehälsomyndigheten ska enligt regeringens förordning: ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet. (SFS 2013:1031). Det är alltså ett mycket tungt uppdrag som innebär att både samordna andra aktörer men att också tillhandahålla egna digitala tjänster. Hälso- och sjukvård är en av de mest vitala uppgifterna i samhället samtidigt som sjukvårdens informationshantering innehåller mycket integritetskänsliga uppgifter om alla som bor i Sverige. Ehälsomyndigheten borde därför rimligen ha den nationellt mest utvecklade nivån av informationssäkerhet inklusive åtgärder som skyddar den personliga integriteten. Mitt intryck är dock att så inte är fallet. För transparensen skull bör jag kanske påpeka att jag offentligt framförde synpunkter på myndighetens tjänst Hälsa för mig som skulle lanseras under 2015, t.ex. här och här. Jag var definitivt inte ensam om att vara frågande inför säkerheten Hälsa för mig, så var även Datainspektionen med flera. För eHälsomyndigheten borde detta vara en oro att ta på allvar så jag går in och tittar på deras hemsida för att se hur de kommunicerar om informationssäkerhet och integritet. Min walk-about på webbplatsen inger dock ingen trygghet. När man beskriver sina satsningar finns säkerhet med som en sådan  men med en text som endast tar upp effektiv inloggning: Digitaliseringen ger stora möjligheter för förbättringar, men om ett stort antal tjänster används samtidigt blir det krångligt för användare med många inloggningar och tidskrävande administration av användarkonton. Inom sjukvårds- och omsorgssektorn finns behov av lösningar som garanterar en patientsäker, kostnadseffektiv och praktisk åtkomst av e-tjänster inom och mellan olika organisationer. När man skriver om utmaningarna inom e-hälsa lyfter man fram: En svårighet är att ingen vårdgivare har en heltäckande bild av dig som patient. Däremot inte ett ord om utmaningen i att upprätthålla god integritet. Tjänsten Hälsa för mig har följande underpresentation:

Ett säkert utrymme
Hälsa för mig är en frivillig, kostnadsfri och säker lagringsplats för information. Du bestämmer själv vilken information du vill lagra på ditt hälsokonto. Som användare identifierar du dig med svensk e-legitimation, till exempel bank-id eller mobilt bank-id. Tjänsten och den tekniska lösningen är utformad i enlighet med relevant lagstiftning, bland annat personuppgiftslagen (PUL) och de krav på säkerhet den innehåller.
Du kan dela din information med andra privatpersoner som har registrerat ett eget konto i Hälsa för mig. Det är du som bestämmer om du vill dela din information med närstående, och vilken information du i så fall vill dela.
eHälsomyndigheten kommer endast att lagra och tekniskt bearbeta din information för din räkning. Vi har inte tillgång till din information.

Texten väcker fler frågor än vad den ger svar och jag letar vidare på webbplatsen efter mer exakt information om var patientinformationen lagras, på vilket sätt den är ”säker” och vem som har ansvar för den o.s.v.. Möjligen letar jag för dåligt men om jag som är en ganska van samt frisk internetanvändare inte kan hitta den informationen så är jag osäker på hur det går för andra.
Kanske är inte detta så märkligt. I den ovan nämnda Vision 2015 ägnas både informationssäkerhet och integritet ett mycket förstrött intresse. Här förekommer den alltför vanliga synen att integritet ska ”balanseras” mot andra intressen. Den som har den uppfattningen kommer att få ett hårt uppvaknande om inte annat då dataskyddsdirektivet träder i kraft…
Texten ger inte heller intrycket att ha tagits fram med medverkan av någon som arbetar med informationssäkerhet, detta då exempelvis begreppet säkerhetsskydd används på ett sätt som nog ingen professionell skulle göra. Visionen undviker samvetsgrant att beskriva vad som avses med informationssäkerhet, den enda gång ordet används sägs det att är en ”princip”. Detta är kanske orsaken till eHälsomyndigheten sedan helt undviker ordet i rapporten om sitt samordningsuppdrag .
För att sammanfatta: det finns en myndighet med ansvar för ett väsentligt område för digitaliseringen – e-hälsa. Integritetskommittén som regeringen tillsatt pekar i sitt delbetänkande på de stora risker för den personliga integriteten som finns i dagens hälso- och sjukvård samt att informationssäkerhet är ett väsentligt redskap för att skapa och upprätthålla integritet i vården. I NISU, regeringens utredning om samhällets informationssäkerhet, backar man från att ta upp frågan om integritet och går inte heller in på samhällsviktiga verksamheters (som sjukvårdens) behov av systematisk informationssäkerhet. I den vision som regeringen och SKL lade fram i år liksom eHälsomyndighetens rapport om sitt samordningsuppdrag spelar både integritet och informationssäkerhet minst sagt underordnade roller. Detta trots dataskyddsförordningens ikraftträdande allt närmare med omfattande och nya krav på integritet vilket i sin tur ställer ännu större krav på informationssäkerhet. Och i den mer konkreta tillämpningen ger eHälsomyndighetens webbplats inga ledtrådar om vilka åtgärder som vidtagits i för informationssäkerheten i Hälsa för mig sedan förra årets kritik.
I fallet e-hälsa är det, trots den oro som framförts, svårt att tycka att regeringen samordnat de tre klossarna digitalisering, integritet och informationssäkerhet på ett särskilt bra sätt.
vilsei-digitaliseringen

The greater good och den enskilda patienten

Sjukvårdsminister Gabriel Wikström har nu uttalat inriktningen att uppgifter kring aborter ska hanteras som övriga patientuppgifter i vården . Detta är intressant eftersom hans resonemang ställer ett antal principiella frågor på sin spets. För att inte bli alltför tjatig  kommer jag här att lämna den ständigt återkommande falska motsättningen mellan patientsäkerhet å ena sidan och integritet å den andra där hän även om den är högst relevant.

Insamlandet av känsliga personuppgifter i register sker för det ”greater good”, alltså inte för den enskilda patientens patientsäkerhet. Få, särskilt i Sverige, skulle argumentera emot den medicinska registerforskningens stora betydelse både för enskilda och för samhället i stort. Det finns en mycket lång tradition att använda medicinska och andra personuppgifter för forskningsändamål så det får sägas finnas en stor acceptans att vara leverantör till allehanda forskning. Betydelsen av möjlighet till registerforskning har också fått en aktuell beskrivning i Bengt Westerbergs utredning 2014 . Förutsättningen för att upprätthålla legitimiteten i registerforskningen är att patienternas integritet i hanteringen vilket Bengt Westerberg uttryckligen hade att utreda. Han har dock fått kritik för att inte tillräckligt att beakta den intresseavvägning som måste göras och inte heller att ta hänsyn till den kritik som Datainspektionen framfört gällande brister i säkerheten i registerhanteringen.

När Gabriel Wikström nu presenterar sitt förslag lyser hela denna diskussion med sin frånvaro. Istället sker en märklig omformulering där integriteten i hanteringen av patientuppgifter ses som att man tabubelägger vissa åkommor. Den ganska självklara och lagstadgade uppfattningen att känsliga uppgifter om hälsa ska hanteras så att de bara är tillgängliga för de som deltar i vården av den enskilda patienten framställs som en litet gammaldags känsla av skam. Underförstått ska en modern och neurosfri människa glatt dela med sig av dessa uppgifter till de instanser och företag som tycker sig ha nytta av dem. Förutom att det strider mot det etiska ställningstagande som finns hos allmänheten och i rådande lagstiftning är det också djupt störande ur andra synpunkter. Uppgifter om sexuell hälsa inklusive abort kan utgöra en verklig risk för patienten om de kommer i orätta händer. Risken för hedersvåld och vanlig ”hederligt svensk” kvinnomisshandel finns om uppgifter om abort kommer i orätta händer. Tyvärr har även RFSU som annars brukar vara vaksamma för kvinnors rättigheter negligerat denna risk.

Ministern hävdar att det saknas anledning för oro. Registren kommer att omges med nödvändig säkerhet och dessutom finns det inga uppgifter om incidenter i tidigare registerhantering. Båda dessa påståenden måste som ytterst tveksamma. Säkerheten i registerhanteringen är en förlängning av säkerheten hos de vårdgivare som lämnar uppgifter till registren. Det räcker kanske med att ta ett enda aktuellt exempel som visar på skakigheten i den generella informationssäkerheten i sjukvården  och dessutom tillägga att det i dag inte sker någon systematisk insamling av it-incidenter i sjukvården över huvud taget. Jag vågar, utan att darra på manschetten, att informationssäkerheten som är förutsättningen för integriteten i sjukvården är klart undermålig och att ministern därför saknar fog för sitt lugnande besked kring hanteringen. Datainspektionens utlåtanden om själva registren indikerar även de på påtagliga brister.

Det är inte bara för forskning som sjukvårdshuvudmännen och andra vill återanvända uppgifter insamlade i samband med patientens vård.  I en något märklig debattartikel förra veckan hävdar ett antal administratörer med emfas rätten till patientuppgifterna. Självklart finns ett ekonomiskt och etiskt intresse av att säkerställa att de ersättningar som privata vårdgivare erhåller från sjukvårdshuvudmännen verkligen går till vård av patienter. Det är dock ett logiskt felslut att med svepande formuleringar om tystnadsplikt hävda att det innebär att administratörer hos landstingen måste ha direktåtkomst till alla patienters person- och hälsouppgifter hos de privata vårdgivarna.

För att försöka förtydliga frågan. Det finns starka och legitima skäl att använda patientuppgifter för andra ändamål än för vården av den enskilda patienten. Det finns också laglig rätt att göra detta för sjukvårdshuvudmän och vårdgivare. Men detta måste ske så att patientens integritet kan skyddas och det är sjukvårdshuvudmännens ansvar att skapa säkra lösningar för både uppföljning och forskning. Detta är naturligtvis ingen omöjlighet att åstadkomma om viljan finns. Istället för att formulera indignerade debattinlägg om hur integriteten hindrar sjukvårdshuvudmännens administration är det detta man bör koncentrera sig på. Jag skrev själv ett inlägg i Läkartidningen 2010 om möjligheten att avidentifiera patientuppgifter för att öka säkerheten. Jag tycker fortfarande att det är den typen av lösningar som borde analyseras närmare, särskilt nu när informationssystem inom hälso- och sjukvård i allt högre grad blivit attraktiva mål för externa parter.  Aktörer inom hälso- och sjukvårdsområdet måste också ta risken med integritetsbrott för den enskilda patienten på allvar. Och när det gäller abortregistret och de undersystem som ska leverera information till registret så måste hanteringen utformas så att det skyddar den egentliga riskägaren, nämligen den kvinna som riskerar sitt liv och sin hälsa om informationen kan läsas av fel personer.