Halmdockor och pepp

Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi. Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade. En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs Järnvägsresandets historia som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.

Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik. Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.

Vad är då budskapet i denna känslomässiga kommunikation? Så här ser de mest förekommande implicita och explicita budskap ut.

Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA. Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering. Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet här ) när digitalisering diskuteras. Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”. Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för. Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.

Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att all digitalisering är bra.  Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet. Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.  Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan. eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a. ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd. I den 84-sidiga vägledningen för behovsdriven utveckling  finns visserligen dessa rader med:

Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs. Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?

men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis eBlomlådan  och så kallade LIKA-värderingar som den här för socialtjänst. Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s. det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den här vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning). För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet. Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts. Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD. Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen. Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.

Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar. Istället sker kommunikationen med ett överflöd av uttalande av den här typen:

  • Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
  • En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan. Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
  • Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
  • Digitalisering skapar mervärde
  • Man behöver förändra helheten – inte bara småändra i marginalen. Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt
  • Möt innevånaren/patienten tidigt genom digitala arbetsmetoder

Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor. Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.

Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn. Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner. Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…). Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem. Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika. Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.  Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.

Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige. Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i.   Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt. Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger. Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering. Ett stöd för denna typ av reflektioner kan vara följande schema över vanliga villfarelser. Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.

Kan 1177-skandalen bli en reboot för vård-it?

Först en disclaimer. Denna text är skriven med ett visst undertryckt ursinne. Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar. Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter. De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand. Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov. Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut. Det var New public management utan management. Sedan dess har det bara fortsatt.

Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar. Det finns inget som är så lätt som att förutspå framtiden i efterhand. Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer. Jag: not so much. Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år. Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll. När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav:

Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter. Hur skyddet genomförs ska dokumenteras. Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget. Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.

ger det en indikation om hur relevant oron faktiskt var/är.  Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns. Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.

Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer. Enkla lösningar är det redan alltför många som kommer med. Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för. Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.

Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.

Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på. Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177. Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen:

2 §   Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.

När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården. Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå). I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare. Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna. Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.  Det juridiska ansvaret läggs nämligen främst på vårdgivaren:

3 §   Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.

Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp. Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens informationshantering. Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster. I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v. Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….

Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen. Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer. Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it. Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå. Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år. Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin Plattsformssamhället.

Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen. Ändå tror jag det är viktigt med ett ansvarsutkrävande. Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland. SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation. Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.  Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”. Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.

Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör? Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans. Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.  Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder. I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.

Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation. SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård. Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL. Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen. Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.  Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk. Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården. Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten. Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt. Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.  Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den. Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB webbplats. Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs. SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer. Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om här. Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida. Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller. När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som här.

I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra. Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer. Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen. Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården. Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.

Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.  Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på. Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga. Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.

Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd. Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder . Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet. Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet. Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

  1.  Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
  2.  Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
  3.  Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering. Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
  4.  Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut. En central fråga är det reella ansvarsutkrävandet.
  5. Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
  6. Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
  7. Ta fram en gemensam styrmodell för informationssäkerhet i vården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
  8. Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
  9. Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
  10. Utveckla utbildningar för de som ska arbeta med informationssäkerheten i vården.
  11. Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

E-hälsans landskap 2

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många. Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”. Ganska svårt skulle jag vilja säga vilket även Trump upptäckte.

Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.

För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.). Bilden är ett försök beskriva samspelet. Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer. Två saker är slående.

Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer. Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.

Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig. Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen. Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga. Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen. Riksrevisionen har pekat på detta i en rapport  gällande den generella styrningen på vårdområdet. Inom e-hälsoområdet är problemen med detta mycket tydligt. En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation. Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen. Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar. Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser. Jag skickade även ett mail till SKL:s infoadress den 24 juli:

Hej!

Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen. Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare. Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha? Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering. Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?

Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.

I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta. SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen. Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.

Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt. Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den vision som delas av regeringen och SKL. Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en handlingsplan som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål. Det är långt till verkstaden om man säger så.

Vad leder detta till i praktiken? Ett bra exempel är  hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats. För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge,  se patientjournallagen (SFS 1985: 562).

16 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

E-hälsofrågan i det hela handlar mer om på vilket sätt patienten kan del av journalen. Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”. Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig. Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet. Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att läsa journalen.

Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att alla patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ. Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s. de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer. Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta…  Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium. Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).

För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter. Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.

Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur. Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav. Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.

Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare. Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter. Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet. Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen. Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.

Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården. Även detta är en god illustration av läget.

Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.  Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas. En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut. Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”. Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar. Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde. Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.

Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes. Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det. Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen. Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja. Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts. Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder:

Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet. Ett villkor som satts upp för den sammanhållna journalföringen:

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig. Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till all vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.  Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten? Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare. I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.

Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar. Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst. Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar. När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”. Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.

Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare. På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de:

”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ. Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera. Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.”

Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen. Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter. Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden. Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.

Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet. I ännu högre grad påverkas effektivitet,  patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra uppmärksammat.  

Vad blir då kontentan av allt detta? Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför). Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.  Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart  oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.  Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin. Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.

Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren. Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda. Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt. Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.

Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen):

  • Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
  • Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta
  • En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
  • En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa. I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex. ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
  • SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen. Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter
  • Utred möjligheten att införa en lösning liknande den norska Normen för informationssäkerhet i den svenska vården. Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar. MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
  • Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

Puh! Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan. Säkert har jag missuppfattat eller vantolkat en massa saker. Mitt enda försvar är att jag efter bästa förmåga försökt måla upp en bild av e-hälsa.  Förhoppningsvis kan  dessa långa inlägg stimulera andra att dela sina bild av samma frågor.

E-hälsans landskap

I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen. För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation. I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen. Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.

Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker. Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen. I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.

Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.

Den svenska vården är i huvudsak offentligt finansierad via skattemedel. Det regionala sjukvårdsvårdshuvudmännen ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen. Men landstingen och regioner behöver inte själva vara utförare av all vård utan vårdgivare kan även vara privata. Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag). Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m. riktas mot vårdgivarna och inte sjukvårdshuvudmännen. När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.

Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera. För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer. En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen. Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel. Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske. Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda. Den utredning som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske . Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att alla får den vård de vill ha). I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem. En hårdvinklad beskrivning men ni förstår vad jag menar. Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen. Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.

En annan viktig negativ faktor är SKL:s förändrade roll. SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s. att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare. Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan. Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete. SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.

Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna. Den nära alliansen mellan politiken och e-hälsoföretagen känns inte helt betryggande för det kommande. I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året. Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.

Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s. sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits. Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat. Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet. Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.  I detta delar jag uppfattningen i följande artikel om floden av åsikter.

Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras. Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården. När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus! Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.

Hur kunde man lyckas med denna infrastrukturella revolution? En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar. Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån. I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet. Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här debattartikeln.

I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen. Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården. Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas. Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen. Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet. Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar. Idag är situationen radikalt annorlunda. En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården. Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor. Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.  Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m. läst meningar som att ”regeringen bör SKL i uppdrag …”.

Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör. När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink. Nu finns både eHälsomyndigheten och Inera m.fl. som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen. Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.

En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring. Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid. Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.

I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana. Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?  Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk. Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt. Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation. Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex. För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”. För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.

Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag. Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv. I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar. Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas. Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen. Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang. Det har vi inte råd att låta den fortsätta vara.

Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa. Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden. Och glöm inte forskningen!

E-arkiv och informationssäkerhet del 2

Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1. Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter. Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation. För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.

För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här:

1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar. Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna. Åtgärderna ska dokumenteras i enlighet med 2 §. Strategin ska fortlöpande kompletteras och hållas aktuell.

Allmänna råd. Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.

Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi. Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.

En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar. Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4. Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade. De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna. Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer. Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade. När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt. Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen. Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande. Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.

För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet. Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens. Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information. Dessutom som redan den store Nils Nilsson underströk: de processuella värdena. Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar. Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, Arkivbildarbegreppet och proveniensprincipen under press? (AFS 1997:3 – det går tyvärr inte att länka till den)  som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.  Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om adminstrative bodies och helhet. I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.

Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till? Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader. För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma. För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare. Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den. Med en  processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).

För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.

Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.

Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS. En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi. Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format. Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.  Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till. Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem. Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering är en imponerande ansats men inte heller den ger de svar som behövs.

Från myndigheterna har jag fått in svar där c.a. 50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin. Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”. Ett antal myndigheter skriver också att de håller på att ta fram en strategi.

Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns). Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.

Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering. Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.

De flesta strategier följer, föga förvånande, RA-FS:ens krav. Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”. Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj. Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.

Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar. I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller praktiskt. Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart. Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.

Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar. Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det. Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell. Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster. Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt. Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.

Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur. Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna. Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge. Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.

Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.  Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.  Ur ett forsknings- och kulturarvsperspektiv finns det  dock anledning att vara bekymrad. Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

Vad vill Liberalerna?

Jag kan faktiskt inte släppa den här debattartikeln från Liberalerna, undertecknad av bland annat en utmanare om partiledarposten. Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården. För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.

Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg. När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.

Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården. Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen. Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar. Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.

Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt. Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt. Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som här:

”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning. Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans. När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring. Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.

och här för att ta två färska exempel.  Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält. Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen. Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.

Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området. Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor. Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem. Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje? Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?

Tyvärr är nog inte Liberalerna ensamma om denna vinglighet. Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.

Är KLASSA ett bra verktyg?

Det finns alldeles för få verktyg som kan användas som stöd för informationsarbetet och det är därför i sig positivt att SKL tagit fram ett stöd för klassning. Klassning vid sidan om riskanalys den mest centrala aktiviteten för att styra informationssäkerheten vilket gör det extra intressant med ett verktyg.  Verktyget är framtaget för kommunal verksamhet med krav som ursprungligen sägs hämtade från två äldre stöd från MSB:s föregångare KBM; BITS (Basnivå för IT-Säkerhet) och BITS+. Dessa stöd togs fram 2006 och har sedan inte uppdaterats efter att ett beslut fattades redan runt 2009 att lämna BITS därhän.

Kraven har sammanställts och utvecklats till en kravkatalog som även har en koppling till ISO 27000-serien:

I samarbete mellan ett antal kommuner bearbetades kravkataloger och funktioner under våren 2015 och blev verktyget du är inne i nu. Kraven mappades om till ISO 2700x och förtydligades.

Jag bestämde mig för att göra ett test av verktyget för att se hur det fungerar i den vardagliga situation som informationsklassning är i en organisation med ett systematiskt informationssäkerhetsarbete. För att ge den som läser testet en bild av mina utgångspunkter tänker jag i detta inlägg först beskriva förutsättningarna för informationsklassning, och särskilt informationsklassning i kommunal verksamhet. Jag ska också försöka tolka KLASSA:s övergripande metodsyn.

Förutsättningar i SS-ISO IEC 27002:14

Utgångspunkten för informationssäkerhetsarbete i offentlig verksamhet är i många fall ISO-standarden, så också för mig och, om än inte direkt utsagt, för KLASSA.

Målet med klassning definieras i SS-ISO IEC 27002:14 som:

Att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen.

Säkerhetsåtgärden är:

Information ska klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering.

Och vägledning för införande:

Klassning och tillhörande säkerhetsåtgärder för informationen bör ta hänsyn till verksamhetens behov av spridning eller begränsning av informationen samt till de legala kraven. Andra tillgångar än information kan också klassas i överensstämmelse med klassningen av den information som är lagrad i, behandlas av eller på annat sätt hanteras eller skyddas av tillgången.

Ett problem med standarden är att begreppen inte är modellerade vilket ställer till problem till exempel genom att begreppet ”tillgång” både kan användas för själva informationen och för de bärare som används för att hantera informationen som till exempel en applikation eller ett papper. Denna brist blir alltmer problematisk eftersom organisationer i allt högre grad använder molntjänster eller delar tjänster på andra sätt vilka knappast kan ses som organisationens tillgångar. Detta ska jag fördjupa mig i vid ett annat tillfälle. Här räcker det att säga att standarden tämligen tydligt säger att det är information som ska klassas. Som en följd av den klassning som gjorts av informationen kan även andra tillgångar klassas, t.ex. genom en klassning av system.

Enligt standarden ska:

Modellen för informationsklassning bör omfatta regler för klassning samt kriterier för granskning av klassificering över tid. Skyddsnivån i modellen bör bedömas genom att analysera konfidentialitet, riktighet och tillgänglighet samt andra krav för den aktuella informationen.

I 27001 finns bilaga A som ofta brukar uppfattas som en kravlista för att uppfylla standarden avsnittet A.8.2. Informationsklassning med där målet med klassningen sägs vara:

Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.

Den modell som används ska alltså inte bara innehålla beskrivning av säkerhetsåtgärder i olika skyddsnivåer utan också kriterier som för skyddsnivåer som ger en kontinuitet över tid oavsett den snabba tekniska utvecklingen. Klassningen ska kunna genomföras utifrån konfidentialitet, riktighet och tillgänglighet men också utifrån andra krav som är aktuella.

Mina egna krav

Efter att ha arbetat med informationsklassning i vitt skilda organisationer med helt olika typer av informationshantering kan jag se vissa generella krav som måste uppfyllas om klassningsaktiviteten  ska få en säkerhetshöjande effekt.

  1. Det måste vara information och organisation som är i centrum. Precis som standarden pekar på så är första steget att identifiera information, klassa den utifrån värdet och betydelsen för verksamheten inklusive betydelsen av att kunna uppfylla externa krav. Att klassa system, vilket fortfarande förekommer, ger en i mitt tycke svag verksamhetsanknytning. Detta eftersom det inte råder ett ett-till-ett-förhållande mellan verksamhet, informationsmängder och system. Det är i de allra flesta fall bara en delmängd av en verksamhets information som hanteras i samma system och det är därför svårt att få en bild av informationens betydelse och värde för verksamheten genom att bara titta på ett system. Ytterligare ett skäl att undvika att blanda samman klassning av information respektive av system kan illustreras av ett exempel jag använt flera gånger. En kommun som ska klassa konsekvenserna av att informationen om att stänga fönstren och hålla sig inomhus vid en gasolycka inte når fram till invånarna kan inte bara klassa webbplatsen. Istället måste man titta just på informationen, därefter se vilka bärare och rutiner som är lämpliga inklusive reservlösningar. Att bara titta på webbplatsen belyser helt enkelt inte situationen.
  2. Det måste finnas skyddsnivåer som är beskrivna för de bärare som används för informationen. Med det avser jag system, applikationer och it-tjänster men även krav på hur den pappersbundna hantering som alltjämt finns kvar ska ske. Skyddsnivåerna måste även innefatta krav på det fysiska skyddet som omger information och utrustning.
  3. Skyddsnivåerna måste vara beskrivna på ett konkret sätt som går att använda som en kravspecifikation både för den egna verksamheten, dels som stöd vid upphandlingar.
  4. Det måste gå att differentiera så att det görs åtskillnad på krav från de olika aspekterna konfidentialitet, riktighet, spårbarhet och tillgänglighet. Att ha höga krav på tillgänglighet innebär på intet vis att man alltid har samma höga krav på konfidentialitet. Åtgärder för uppnå det ena kan ofta motverka det andra vilket kan leda till att informationsklassning försämrar möjligheten att uppnå en anpassad säkerhet.
  5.  Det  måste det finnas en aktiv förvaltning av både krav och föreslagna skyddsåtgärder så att de inte blir vilseledande och i värsta fall kan leda till en falsk trygghet som underminerar ett systematiskt säkerhetsarbete som hela tiden måste möta nya risker.
  6.  Jag har alltid förordat att information som faller under säkerhetsskyddslagen, d.v.s. som kan på verka rikets säkerhet, ska behandlas separat eftersom det för denna information finns fastställda krav på rutiner och utrustning som ligger utanför verksamhetens normala miljö. Det är ofta lätt att identifiera denna typ av information och skapa ett separat spår för den och sedan fortsatta den övriga klassningen.

Test av KLASSA

Som användare möts man av ett fräscht och lättnavigerat gränssnitt vilket skapar förväntningar.  Jag utlovas att kunna få ”informationssäkerhetsklassa” (litet knölig term men det är kanske för att göra en distinktion mot det KLASSA som används i ett arkivperspektiv) informationen i ett verksamhetssystem, att göra en handlingsplan och att få en lista med upphandlingskrav. Redan här finns ju ett problem genom att det är ”informationen i ett verksamhetssystem” som ska klassas vilket ger en rätt föråldrad syn på relationen mellan verksamhet, information och it-lösning som jag försökt beskriva ovan.

Positivt är dock att klassa har med aspekten spårbarhet. Detta är en nödvändighet för de organisationer som har verksamhet inom vård med tanke på de krav som ställs på detta i den relativt nya föreskriften från Socialstyrelsen HSFL-FS  2016:40.

Men vilket praktiskt stöd får jag genom KLASSA? Jag tänker mig att jag klassar informationen i två olika verksamhetssystem med stor spännvidd. Det första är ett tänkt rumsbokningssystem för kommunhuset i Söpple, det andra ett vårdsystem för äldreomsorgen i samma kommun.

Jag erbjuds att klassa i fem nivåer från 0= ingen eller försumbar skada till 4= synnerligen allvarlig skada. För nivå 4 finns en oklar formulering:

Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa.Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger.Informationen omfattas av t ex säkerhetsskyddslagstiftningen.

Är det endast för uppgifter som är hemliga eller är det även andra uppgifter som kan utgöra omfattande fara för liv och hälsa om de röjs? Säkerhetsskyddslagen säger inget om liv och hälsa – det är andra värden som avses skyddas i den lagstiftningen. Det är inte heller rimligt att föreställa sig att sjukvård ska bedrivas med den utrustning och de rutiner som säkerhetsskyddet stipulerar (RÖS- och signalskydd för att ta ett par exempel). Detta är en besvärande oklarhet. När jag som test fyller i nivå 4 får jag till svar:

Du har klassat kravområdet Konfidentialitet som nivå 4. Kraven på dessa typer av system hanteras inte via KLASSA. Kontakta organisationens informationssäkerhetsansvarige för hantering av denna typ av information.

Jag förstår helt enkelt inte var liv och hälsa kommer in här eftersom konstruktörerna av KLASSA verkar avse endast rikets säkerhet.

För mitt rumsbokningssystem fyller jag i att det kan bli måttliga skade-effekter i alla aspekter (nivå 1) och får ut en kravlista som jag sedan kan bedöm hur väl jag uppfyller. Skadeeffekten är beskriven som:

  • Inga märkbara större svårigheter för verksamheten att nå målen.

  • Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation.

  • Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.

 

Med tillägget

  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet.

för aspekten tillgänglighet.

För vårdsystemet väljer jag lika konsekvent nivå 3 vilket står för:

  • Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen.

  • Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.

  • Individers liv och hälsa äventyras.

med tillägget:

  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet.

Jag har några synpunkter på beskrivningar av skadeeffekterna som jag väljer att hoppa över i detta redan alltför långa inlägg. Istället ska jag fokusera på det stöd jag får ut.

 

Grunden är att konstruktörerna har gått via kravbilagan till ISO 27000. Detta leder till ett stort principiellt problem och några praktiska.  Det principiella består i en underförstådd tolkning av kraven i bilaga inte ska tolkas som en helhet utan att säkerheten höjs genom ju fler av kraven som uppfylls. Detta är inte min tolkning vilken istället är att alla organisationer som eftersträvar att följa standarden ska uppfylla samtliga krav men på olika nivå beroende på sitt behov av skydd. Organisationer som certifierar sig gör ju ett Statement of Applicability (SoA) om de inte anser att kravet är tillämpbart i deras organisation.

Det praktiska resultatet av detta principiella val i KLASSA är att listan över säkerhetskrav (som numreras utifrån standarden) är betydligt kortare för rumsbokningssystemet än för vårdsystemet. Detta skulle kunna förefalla rimligt och som ett tecken på att säkerhetskraven är lägre – alltså färre krav. Jag tycker dock inte det när man ser vilka krav som saknas för rumsbokningssystemet. Exempel på vad som saknas är rena hygienfaktorer som krav på sekretessförbindelser, att identiteter inte återanvänds, styrning av loggar och uppdateringar, nätverkssäkerhet, relationen till leverantören, leverantörens åtkomst och granskning. Dessa säkerhetskrav påverkar ju inte enbart rumsbokningssystemet utan i värsta fall hela miljön som de finns i.

Att KLASSA tar sin utgångspunkt i standardens krav i sin rena form i de flesta fallen (undantag är till exempel identifieringslösningar) leder till den litet paradoxala följden att det ställs mycket få tekniska krav trots att det är system som klassas. Det leder också till att kraven är mycket öppna för tolkning och inte till någon större hjälp vare sig intern eller vid upphandling som till exempel:

 Information tillhörande systemet som lagras på externa molntjänster eller på flyttbar lagringsmedia, exempelvis mobiltelefoner, USB-minnen och externa hårddiskar, hanteras och skyddas på motsvarande sätt som övrig information tillhörande systemet.

Eller ur det excelark som kan användas som stöd för upphandling:

Leverantören ska ha en rutin för att både avaktivera användarkonton och permanent ta bort konton från systemet.

En sammantagen bedömning

Trots att behovet är stort och ansatsen tycker jag inte att KLASSA är ett bra verktyg. I vissa fall skulle jag till och med säga att det är en riskfaktor i sig eftersom KLASSA på de lägre säkerhetsnivåerna plockar bort så många självklara säkerhetsåtgärder att ett system som sägs uppfylla kraven kan vara i avsaknad av elementära säkerhetsåtgärder. Detta är en risk i systemet och i värsta fall för hela it-miljön som det finns i. Om en leverantörs åtkomst inte är styrd och begränsad i ett system kan det leda till obehörig åtkomst även i andra integrerade lösningar för att bara ta ett exempel.

Av de sex krav jag ställde upp fyller KLASSA endast delvis upp krav 2, 4 och 6 om man gör en välvillig tolkning.

Jag hoppas SKL gör ett omtag och då även ser över till exempel kraven från dataskyddsförordningen och integrerar även dem.

 

Jag tar en för laget och läser ytterligare en utredning om digitalisering

Man tror ju nästan inte det är möjligt att utreda digitalisering ytterligare en gång men det får man ändå ge regeringen – att sätta fart på utredandet, det kan den! Nu har den emotsedda utredningen om en ”ny” digitaliseringsmyndighet presenterats, med det litet sekelskiftesdoftande namnet SOU 2017:23 digitalforvaltning.nu.

Spoilervarning eller service till er som inte vill läsa längre än hit:

  • Utredningen tycker att regeringen ska ta litet mer ansvar och ta fram en plan för digitaliseringen, tydliggöra ansvarsförhållanden, ställa krav på uppföljning m.m., m.m.
  • Man föreslår att antingen ska Esam plus litet annat flytta till ESV och utgöra en myndighetsfunktion för digitalisering. Tjänsterna Mina meddelanden och e-legitimation ska förvaltas av myndigheten. Alternativt kan en helt ny myndighet bildas för detta ändamål.
  • Man promotar Mina meddelanden och säger att det krävs en ny förordning för att bland annat reglera personuppgiftsansvaret i tjänsten
  • Och  trycker på att ”informationssäkerhet och integritetsskydd beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen”

Först vill jag ge utredningen en eloge för den 40-sidiga historik som ingår. En randanmärkning är att historieskrivningen skulle blivit ännu intressantare om den även inkluderat en teoretisk diskussion i ett förvaltningshistoriskt perspektiv. Det skulle ge digitaliseringen den kontext som så ofta saknas. Det har dock inte varit utredningens uppdrag att anlägga en mer djuplodande syn på digitaliseringens roll i samhället och i förvaltning. Istället har regeringen velat ha en analys av och förslag till:

effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.

Mer konkret handlar det om att ge förslag på hur staten skapa en organisation och ansvarsfördelning för nationella tjänster som Mina meddelanden och Svensk e-legitimation. Dessa två tjänster har ju inte riktigt levererat enligt regeringens ambition och ytterligare ett uppdrag för utredningen har varit att föreslå

åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.

I övrigt är det välbekant stoff där uppgifter som i princip har funnits sedan tiden för 24-timmarsmyndigheten flyttas omkring litet i myndighetsstrukturen.

Utredningen börjar i moll. Sverige har halkar efter i digitaliseringen trots att regeringar oavsett färg sedan länge hävdat att vi ska vara bäst. I parentes sagt har jag aldrig förstått varför strävan är att vara bäst istället för att vara tillräckligt bra men det kanske bara är trist och pragmatisk jante-inställning. Utredningen söker den främsta orsaken till det icke-fördelaktiga läget i att staten under lång tid valt en decentraliserad ansvarsmodell för digitaliseringen. Hypotesen framförs med hänvisning till det stora antal utredningar från andra myndigheter (Riksrevisionen, E-delegationen, ESV och Digitaliseringskommissionen) som alla pekat på samma sak. En reflektion under läsningen är att myndigheterna visserligen enigt pekat på fenomenet men därefter lämnat helt olika svar på lösning. E-delegationen föreslår t.ex. någon slags mjuk samordningslösning som ska leda till ökad samordning medan Digitaliseringskommissionen istället föreslår en ny myndighet. Det är inte alldeles lätt att vara regering och inom ett drygt år få två helt olika förslag på lösningar från sina utredningar…

Avsnittet om organisation är begripligt vilket är något mer än vad som kan sägas om avsnittet En nationell digital infrastruktur. Det inleds med utredningens bedömning

Politiken för digital förvaltning bör utformas mot bakgrund av dess roll i den nationella digitala infrastrukturen.

Jag läser meningen om och om igen och förstår absolut ingenting. Är det politiken som bör utformas med bakgrund av dess roll i den nationella digitala infrastrukturen? Eller är det den digitala förvaltningen? Vilken roll har i så fall i politiken alternativt den digitala förvaltningen i den nationella digitala infrastrukturen? Och vad är den nationella digitala infrastrukturen? Är det lösningar som staten kontrollerar, är det infrastruktur som används för nationella tjänster?  Utredaren tycks mena att infrastrukturfrågan inte nödvändigtvis behöver kräva några heltäckande statliga beslut utan att den liksom växer fram organiskt av offentliga och privata aktörer. Det hela mynnar ut i fler frågor och egentligen inga svar.

Det avsnitt som jag av naturliga skäl är mest intresserad av är det som handlar om informationssäkerhet, integritetsskydd och personuppgiftsansvar. Utredarens bedömningar är idag att betrakta som truismer; säkerhet måste integreras i digitaliseringen, kommuner och myndigheter behöver mera stöd för att göra det men myndigheter som har ansvar för att ge stöd i ovanstående frågor är inte koordinerade. Detta är kända sanningar sedan länge så det en ny utredning skulle kunna tillföra skulle vara att komma ett steg längre än att pliktskyldigt skriva att det är viktiga frågor och föreslå vad som ska göras för att förbättra situationen.

Och det här jag återigen stöter på ett generellt problem med dagens utredningsväsende. Min referensram är tyvärr härliga utredningsinsatser som t.ex. Emigrationsutredningen 1907-1913 under Gustaf Sundbärg. Utredningen genomfördes av tidens främsta forskare på området, ny kunskap skapades och regeringen fick dessutom ett mycket kvalificerat beslutsunderlag. Dagens utredningar verkar alltför ofta bara innebära ett legitimerande av ett beslut som redan ligger och väntar. Teori, analys och vetenskaplig kompetens är inte särskilt efterfrågat. Istället hamnar utredningarna i det som jag inledningsvis gav en eloge; en sammanställning av redan publicerade källor. ”Kompilation” skulle läraren på den forskarutbildning jag påbörjade men aldrig avslutade morra innan han gav ett underkänt betyg hänvisande till det mest nesliga felsteget i skrivandet näst det rena fusket. Nu ska jag inte vara alltför njugg, utanför säkerhetsområdet finns det resonemang om hur offentligt finansierade aktörer kan betraktas som tillför ny kunskap men det känns mer som undantag. Jag har också förståelse för att utredningen med den korta tid (sedan i slutet av november 2016) som stått till förfogande knappast kan göra några djupdykningar. Frågan blir då varför man väljer att tillsätta en utredning och inte helt enkelt låta tjänstemännen på RK ta fram ett beslutsunderlag i den riktning som regeringen tänkt sig besluta. Elakt tänker jag att kanske statliga utredare om digitalisering är en av de yrkesgrupper som kan vara ersättas med robotar eftersom de ständigt kompilerar litet till utan att tillföra någon ny analys.  Vilket omedelbart slå tillbaka på mig själv för självklart skulle mitt itererade gnäll på statliga utredningar om digitalisering precis lika lätt kunna göras av en robot.

I avsnittet om informationssäkerhet, integritetsskydd och personuppgiftsansvar kompileras det sida upp och sida ner från MSB, PTS och Datainspektionens webbplatser och föreskrifter samt från Riksrevisionens rapporter, tidigare SOU:er o.s.v..  Ingen ny kunskap och ingen analys men utredningen försäkrar som så många utredningar före den att informationssäkerhet och integritet är superviktiga förutsättningar för digitalisering. Författningsförslaget gällande den nya myndigheten ser ut så här:

11 § Myndigheten ska samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.

Det är ju ett förslag som är svårt att undvika att uppfylla…

Jag uppfattar detta som det svagaste partiet i utredningen eftersom det saknar riktning, nytänkande och konkreta förslag. Pliktskyldigt refererande skjuter ingen hare. Det intressanta är när utredningen själv diskuterar s.k. eget utrymme (liksom även Mina meddelanden för den delen), vilket är en fråga med många säkerhetsdimensioner finns inte tillstymmelse till riskanalys eller diskussion om säkerhetsaspekter. Detta skildrar i ett nötskal hur informationssäkerhet och integritet hanteras i förhållande till digitalisering; välmenande omnämnande men ingen praktik.

 

 

 

Tema e-demokrati: E-demokrati i de nationella satsningarna på digitalisering

Min uppfattning är att den svenska demokratitraditionen är en deltagardemokrati och att vi bör utveckla demokratin i en deliberativ riktning inte minst eftersom det skulle gynna den samhälleliga tilliten. I ett tidigare inlägg har jag framfört att digitalisering kan vara ett verksamt stöd för att göra detta men att det kräver en uttalad linje från regeringen samt konkreta åtgärder i digitaliseringsarbetet. Jag har också hävdat det är inom den konstitutionella komponenten av demokratin, d.v.s. när det gäller individuella rättigheter, rättssäkerhet och maktdelning, som den offentliga digitaliseringen främst kan ha positiv effekt eftersom den är inriktad på förvaltningsfrågor.

Om digitaliseringen ska stärka demokratin måste denna aspekt alltså vara framlyft i de nationella satsningar som initierats av regeringen eller andra centrala offentliga aktörer. Jag ska här göra ett snabbt svep över digitaliseringsområdet och se hur demokratifrågan hanterats.

Det finns en historia inom e-demokratiområdet i Sverige där frågan fanns med i de fyra it-kommissionerna som avlöste varandra mellan 1994 och 2003, och även i regeringens it-politiska strategigruppens rekommendationer från 2006. Men är utvecklandet av e-demokrati en viktig del av dagens digitaliseringssträvanden?

Det finns två aktuella urkunder för det nu pågående digitaliseringsarbetet. Först kom den It i människans tjänst– en digital agenda för Sverige 2011 .   Därefter regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum från 2012 .

Den digitala agendan

I den digitala agendan spänns bågen i demokratifrågor:

It ska vara ett stöd för medborgardialog samt bidra till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande. En levande demokrati där individer har möjlighet att påverka beslut som rör den egna vardagen är målet för demokratipolitiken.  Inom ramen för arbetet med att stärka demokratin är prioriterade frågor goda möjligheter till insyn och inflytande, lokal- och kommunal demokrati, förstärkta möjligheter till inflytande i den demokratiska processen samt vidgat inflytande med hjälp av e-verktyg. Därför är det positivt om it är ett stöd för medborgardialog samt bidrar till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.

Tyvärr utmynnar målbilden i ett åtgärdsförslag som närmast är en icke-åtgärd:

Under de kommande åren är det en gemensam utmaning för stat, kommun och landsting att utveckla användningen av it som stöd i dialogen med medborgarna. Detta bör ske på ett sätt som stärker demokratin genom att utveckla en transparent demokrati och ge medborgarna ökad möjlighet att utöva inflytande i de demokratiska beslutsprocesserna. Regeringen stödjer därför bl.a. fortsatt Sveriges Kommuner och Landstings projekt Medborgardialog med stöd av it som ska pågå till 2013.

Lustigt nog ägnas betydligt mycket mer engagemang åt hur demokratiutveckling via digitalisering kan ingå som en viktig del i svensk biståndspolitik än åt hur den inhemska demokratiutvecklingen kan stärkas.

Det finns också ett flertal hänvisningar till den proposition som lade grunden för E-delegationens arbete men som också skapade en varaktig dimma kring syftet med digitaliseringen; är det för medborgaren, förvaltningen eller för näringen som olika åtgärder vidtas? Ett mycket påtagligt exempel på detta är när en ökad tillgänglighet till offentlig information framställs som ett demokratiprojekt men det egentliga syftet visar sig vara att företag ska kunna vidareutnyttja offentlig information i kommersiella syften. Detta är en följd av kombinationen av den svenska offentlighetsprincipen och EU:s PSI-direktiv vilket verkligen skulle förtjänat att få de olika syftena förtydligade.

Regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum

Denna dubbelhet följer med in i målen för regeringens strategi Med medborgaren i centrum där ett av målen är:

Öppenhet. Vi ska ta hjälp av det digi­tala för att stärka demokratin och, öka transparensen och bidra till mer tillväxt genom öppna data.

Litet längre fram trycker man på de demokratiska värden som kan stärkas:

Insyn och öppenhet är grundläggande förut­sättningar för demokratiskt ansvarsutkrävande och det är därför viktigt med transparens och tillgång till information om den statliga för­valtningen. Digitala tjänster ger möjlighet att förverkliga offentlighetsprincipen på ett sådant sätt att information inte bara görs tillgänglig på begäran. Ett exempel är Openaid.se, som publi­cerar information om det svenska biståndet.

De enda inriktningar i strategin som skulle kunna påverka demokratiska värden är tillsättandet av informationshanteringsutredningen och en förstudie om ökad transparens i Regeringskansliets remisshantering. Såvitt jag kan se innehåller inte förslaget till myndighetsdatalag som blev resultatet av informationshanteringsutredningen några förslag för att förbättra insynen, däremot ett antal förslag rörande integritet som ledde till invändningar av en rad remissinstanser. Om transparensen i remisshanteringen förbättrats är jag osäker på.

E-delegationen och Digitaliseringskommissionen

Sammantaget kan man säga att det har funnits en del ambitioner i demokratifrågor, om än vaga, i regeringens styrning av digitaliseringen. De organ som tillsatts för att realisera regeringens ambitioner kan inte heller sägas ha tagit e-demokratin vidare.

E-delegationen, en kommitté som tillsattes 2009 och fortlevde till 2015, fick av regeringen uppdraget att:

beakta den utveckling som sker inom området e-demokrati, dvs. användning av it i demokratiska processer.

Men delegationen gjorde själv en avgränsning ”av uppdraget och har inte beaktat demokratifrågor.” som man skriver i sitt slutbetänkande. E-delegationens efterföljare eSam (eSam är ett medlemsdrivet program för samverkan mellan myndigheter och Sveriges Kommuner och Landsting (SKL) om digitaliseringen av det offentliga Sverige) nämner inte demokratifrågan över huvud taget.

Digitaliseringskommissionen som haft regerings uppdrag att bistå Regeringskansliet i den fortsatta utvecklingen av digitaliseringspolitiken, bl.a. genom att ta fram underlag lämnar inte heller i sitt slutbetänkande några förslag på att förbättra e-demokratin. Däremot innehåller temarapporten Det sociala kontraktet i en digital tid från 2016 ett antal uppsatser som anknyter till demokratifrågor inklusive den personliga integriteten. Uppsatserna är av mycket varierande kvalitet där några ha ett språkbruk som knappast setts i statliga utredningar, som på sidan 66 för att ta ett exempel:

Sett ur det här perspektivet tycks många av sjukvårdens praktiker, där patienters önskemål om att slå ihop journaler inte hörsammas med hänvisning till den personliga integriteten, närmast perversa.

Lyckligtvis är inte nivån på argumentation den samma i hela rapporten men den innehåller å andra sidan mycket få förslag för att förbättra demokratin med hjälp av digitalisering. Undantaget är Ulf Bjerelds och Marie Demkers diskussion om hur digitaliseringen kan underlätta för de politiska partierna att stärka sin ställning som länk mellan medborgarna och de beslutsfattande institutionerna.

Efter denna genomgång tycker jag mig kunna konstatera att det saknas en tydlig och uttalad linje gällande e-demokrati från den här regeringen liksom från de tidigare. De generella initiativ som regeringen tagit för att uppmuntra en ökad digitalisering har inte heller kommit att handla om att stärka demokratin. E-delegationen avgränsade till och med bort det uppdrag de fått av regeringen om att beakta utvecklingen inom området e-demokrati. Bristen på engagemang är förvånande eftersom detta borde vara en angelägen uppgift då demokratin såsom vi känner den tycks alltmer hotad av auktoritära krafter.  Uppriktigt tror jag också att de digitala verktygen kan skapa möjligheter att pigga upp en förstelnad och litet rostig demokrati.  Men, som Anders R Olsson påpekade för redan för mer än femton år sedan, detta sker inte av sig själv utan förutsätter en uthållig vilja.

Jag ska återkomma till ett par frågor där digitaliseringen verkligen kan påverka demokratin i antingen positiv eller negativ riktning.

 

 

 

 

 

 

 

 

 

 

 

 

 

Inte nu heller – när ska det bli dags för säker e-hälsa?

Knappt hinner jag avsluta ett inlägg om nationell säkerhetsstrategi förrän regeringen och SKL lanserar en gemensam tvåårig handlingsplan för samverkan vid genomförande av Vision e-hälsa 2025  Som intresserad av nationella initiativ inom digitalisering och säkerhet får man ligga i för att hinna med!

Visionen innehåller inte mer konkreta mål än att vi ska vara ”bäst i världen”, ett uttryck som har en litet osund bismak i Trumps tidsålder:

År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Utöver detta nämns tre insatsområden; regelverk, enhetligare begreppsanvändning samt standarder. Under insatsområdet regelverk sägs:

Utgångspunkten i arbetet med regelverk inom e-hälsoområdet är att balansera rättigheter eller intressen såsom skydd för personlig integritet, kvalitet, säkerhet och effektivitet. De lagar och andra föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen. Regelverket bör hantera den tekniska utvecklingen. Om regelverket behöver ändras för att tillgodose kvalitet och effektivitet i verksamheten ska även behovet av integritets- och säkerhetsskydd tillgodoses.

Bortsett från att begreppet säkerhetsskydd används på ett felaktigt sätt för den sista meningen i stycket fram den för mig helt obsoleta tanken att det skulle finnas en motsättning mellan säkerhet å ena sidan, kvalitet och effektivitet å den andra. I andra branscher har man lyckats ta sig från föreställningen att informationssäkerhet är detsamma som krånglig sekretesshantering, så icke på Regeringskansliet och i SKL:s korridorer.

En handlingsplan måste väl ändå vara mer inriktad på faktiska aktiviteter tänker man hoppfullt. Samma tre insatsområden återkommer av naturliga skäl, och minst intresse ägnas regelverksområdet. Inledningen uppvisar samma felaktiga intressemotsättningar:

De lagar, förordningar och föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen, men måste också kunna hantera de specifika frågeställningar som den digitala utvecklingen medför. Insatserna syftar därför till att uppnå ändamålsenliga regelverk som både värnar individens integritet och säkerhet, och samtidigt medverkar till att främja den digitala utvecklingen. Det handlar om att balansera rättigheter såsom skydd för personlig integritet mot en jämlik, patientsäker och tillgänglig vård.

Målbilden är en aning konkretare:

Skapa ändamålsenliga regelverk som såväl värnar individens integritet och säkerhet som främjar den digitala utvecklingen, samt underlätta tillämpning och införande av regelverk i berörda verksamheter.

Det låter ju jättebra tänker jag efter att i åratal tjatat om nödvändigheten av gemensam styrmodell för informationssäkerhet. Äntligen ska det tas krafttag! Men när jag läser om de gemensamma aktiviteter som staten och SKL ska genomföra blir jag modfälld igen:

  • fastslå en process för att gemensamt identifiera och fånga behov av information gällande befintliga regler eller kommande förändringar av dessa,

  • skapa förutsättningar för en säkrare läkemedelsprocess,

  • bevaka intressen, sprida kunskap om initiativ samt vid behov ta fram nationell vägledning rörande EU-samarbetet.

Hur dessa aktiviteter ska kunna leda fram till ett gemensamt regelverk undgår mig, och om detta är det som ska genomföras fram till 2019 lär informationssäkerheten inte förbättras i vården på den här sidan decenniet. Samtidigt är det uppenbart att säkerhetsproblemen blir allt större, bara de senaste dygnen har förlossningsvården i Stockholm drabbats allvarligt, regionsjukhuset i Örebro  haft stora problem och Nya Karolinskas patientlarm slagits ut av skottsekunden. Själv har jag börjar samla på medierapporter om brister i informationssäkerheten i vården eftersom det saknas officiell statistik och det är mycket oroande läsning. Jag känner en växande förtvivlan över att riskerna faktiskt inte tas på allvar av de som styr vården, inte ens då man sätter sig ner för att planera framtiden.

Problemen går inte att lösa för varje vårdgivare utan måste samordnas. Det räcker det inte med att identifiera befintliga regelverk eller att nöja sig med att skapa säkrare läkemedelsprocess. Det går inte heller att som i den nationella säkerhetsstrategin intressera sig för sjukvården endast i krigs- och krissituationer. Vad som behövs är en stor samordnad satsning på normallägets sjukvård som du och jag är beroende av och då är det inte bara regelverk som ska samordnas. Istället måste de politiker som gärna vill profilera sig som digitaliseringens ambassadörer se litet längre än nästa val, gräva litet djupare i fickan och börja bygga en integrerad säkerhetsarkitektur. För att vi ens ska få en hyfsad e-hälsa som patienter kan lita på  krävs en stor ekonomisk satsning, jag tänker mig en informationssäkerhetsmiljard med tanke på hur eftersatt området är. Dessutom kompetens och uthållighet. För att bli bäst i världen … ja, då krävs ännu mycket mer och av detta syns ingenting i handlingsplanen.