E-hälsans landskap 2

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många. Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”. Ganska svårt skulle jag vilja säga vilket även Trump upptäckte.

Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.

För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.). Bilden är ett försök beskriva samspelet. Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer. Två saker är slående.

Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer. Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.

Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig. Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen. Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga. Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen. Riksrevisionen har pekat på detta i en rapport  gällande den generella styrningen på vårdområdet. Inom e-hälsoområdet är problemen med detta mycket tydligt. En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation. Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen. Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar. Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser. Jag skickade även ett mail till SKL:s infoadress den 24 juli:

Hej!

Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen. Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare. Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha? Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering. Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?

Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.

I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta. SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen. Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.

Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt. Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den vision som delas av regeringen och SKL. Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en handlingsplan som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål. Det är långt till verkstaden om man säger så.

Vad leder detta till i praktiken? Ett bra exempel är  hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats. För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge,  se patientjournallagen (SFS 1985: 562).

16 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

E-hälsofrågan i det hela handlar mer om på vilket sätt patienten kan del av journalen. Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”. Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig. Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet. Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att läsa journalen.

Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att alla patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ. Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s. de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer. Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta…  Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium. Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).

För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter. Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.

Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur. Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav. Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.

Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare. Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter. Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet. Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen. Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.

Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården. Även detta är en god illustration av läget.

Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.  Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas. En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut. Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”. Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar. Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde. Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.

Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes. Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det. Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen. Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja. Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts. Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder:

Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet. Ett villkor som satts upp för den sammanhållna journalföringen:

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig. Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till all vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.  Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten? Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare. I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.

Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar. Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst. Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar. När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”. Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.

Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare. På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de:

”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ. Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera. Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.”

Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen. Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter. Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden. Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.

Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet. I ännu högre grad påverkas effektivitet,  patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra uppmärksammat.  

Vad blir då kontentan av allt detta? Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför). Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.  Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart  oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.  Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin. Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.

Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren. Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda. Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt. Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.

Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen):

  • Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
  • Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta
  • En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
  • En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa. I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex. ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
  • SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen. Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter
  • Utred möjligheten att införa en lösning liknande den norska Normen för informationssäkerhet i den svenska vården. Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar. MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
  • Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

Puh! Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan. Säkert har jag missuppfattat eller vantolkat en massa saker. Mitt enda försvar är att jag efter bästa förmåga försökt måla upp en bild av e-hälsa.  Förhoppningsvis kan  dessa långa inlägg stimulera andra att dela sina bild av samma frågor.

E-hälsans landskap

I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen. För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation. I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen. Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.

Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker. Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen. I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.

Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.

Den svenska vården är i huvudsak offentligt finansierad via skattemedel. Det regionala sjukvårdsvårdshuvudmännen ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen. Men landstingen och regioner behöver inte själva vara utförare av all vård utan vårdgivare kan även vara privata. Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag). Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m. riktas mot vårdgivarna och inte sjukvårdshuvudmännen. När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.

Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera. För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer. En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen. Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel. Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske. Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda. Den utredning som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske . Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att alla får den vård de vill ha). I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem. En hårdvinklad beskrivning men ni förstår vad jag menar. Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen. Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.

En annan viktig negativ faktor är SKL:s förändrade roll. SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s. att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare. Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan. Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete. SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.

Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna. Den nära alliansen mellan politiken och e-hälsoföretagen känns inte helt betryggande för det kommande. I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året. Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.

Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s. sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits. Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat. Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet. Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.  I detta delar jag uppfattningen i följande artikel om floden av åsikter.

Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras. Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården. När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus! Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.

Hur kunde man lyckas med denna infrastrukturella revolution? En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar. Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån. I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet. Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här debattartikeln.

I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen. Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården. Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas. Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen. Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet. Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar. Idag är situationen radikalt annorlunda. En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården. Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor. Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.  Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m. läst meningar som att ”regeringen bör SKL i uppdrag …”.

Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör. När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink. Nu finns både eHälsomyndigheten och Inera m.fl. som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen. Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.

En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring. Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid. Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.

I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana. Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?  Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk. Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt. Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation. Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex. För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”. För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.

Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag. Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv. I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar. Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas. Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen. Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang. Det har vi inte råd att låta den fortsätta vara.

Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa. Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden. Och glöm inte forskningen!

E-arkiv och informationssäkerhet del 2

Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1. Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter. Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation. För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.

För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här:

1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar. Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna. Åtgärderna ska dokumenteras i enlighet med 2 §. Strategin ska fortlöpande kompletteras och hållas aktuell.

Allmänna råd. Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.

Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi. Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.

En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar. Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4. Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade. De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna. Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer. Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade. När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt. Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen. Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande. Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.

För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet. Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens. Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information. Dessutom som redan den store Nils Nilsson underströk: de processuella värdena. Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar. Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, Arkivbildarbegreppet och proveniensprincipen under press? (AFS 1997:3 – det går tyvärr inte att länka till den)  som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.  Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om adminstrative bodies och helhet. I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.

Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till? Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader. För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma. För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare. Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den. Med en  processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).

För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.

Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.

Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS. En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi. Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format. Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.  Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till. Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem. Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering är en imponerande ansats men inte heller den ger de svar som behövs.

Från myndigheterna har jag fått in svar där c.a. 50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin. Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”. Ett antal myndigheter skriver också att de håller på att ta fram en strategi.

Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns). Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.

Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering. Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.

De flesta strategier följer, föga förvånande, RA-FS:ens krav. Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”. Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj. Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.

Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar. I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller praktiskt. Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart. Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.

Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar. Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det. Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell. Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster. Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt. Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.

Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur. Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna. Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge. Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.

Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.  Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.  Ur ett forsknings- och kulturarvsperspektiv finns det  dock anledning att vara bekymrad. Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

Vad vill Liberalerna?

Jag kan faktiskt inte släppa den här debattartikeln från Liberalerna, undertecknad av bland annat en utmanare om partiledarposten. Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården. För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.

Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg. När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.

Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården. Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen. Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar. Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.

Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt. Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt. Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som här:

”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning. Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans. När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring. Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.

och här för att ta två färska exempel.  Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält. Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen. Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.

Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området. Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor. Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem. Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje? Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?

Tyvärr är nog inte Liberalerna ensamma om denna vinglighet. Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.

Är KLASSA ett bra verktyg?

Det finns alldeles för få verktyg som kan användas som stöd för informationsarbetet och det är därför i sig positivt att SKL tagit fram ett stöd för klassning. Klassning vid sidan om riskanalys den mest centrala aktiviteten för att styra informationssäkerheten vilket gör det extra intressant med ett verktyg.  Verktyget är framtaget för kommunal verksamhet med krav som ursprungligen sägs hämtade från två äldre stöd från MSB:s föregångare KBM; BITS (Basnivå för IT-Säkerhet) och BITS+. Dessa stöd togs fram 2006 och har sedan inte uppdaterats efter att ett beslut fattades redan runt 2009 att lämna BITS därhän.

Kraven har sammanställts och utvecklats till en kravkatalog som även har en koppling till ISO 27000-serien:

I samarbete mellan ett antal kommuner bearbetades kravkataloger och funktioner under våren 2015 och blev verktyget du är inne i nu. Kraven mappades om till ISO 2700x och förtydligades.

Jag bestämde mig för att göra ett test av verktyget för att se hur det fungerar i den vardagliga situation som informationsklassning är i en organisation med ett systematiskt informationssäkerhetsarbete. För att ge den som läser testet en bild av mina utgångspunkter tänker jag i detta inlägg först beskriva förutsättningarna för informationsklassning, och särskilt informationsklassning i kommunal verksamhet. Jag ska också försöka tolka KLASSA:s övergripande metodsyn.

Förutsättningar i SS-ISO IEC 27002:14

Utgångspunkten för informationssäkerhetsarbete i offentlig verksamhet är i många fall ISO-standarden, så också för mig och, om än inte direkt utsagt, för KLASSA.

Målet med klassning definieras i SS-ISO IEC 27002:14 som:

Att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen.

Säkerhetsåtgärden är:

Information ska klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering.

Och vägledning för införande:

Klassning och tillhörande säkerhetsåtgärder för informationen bör ta hänsyn till verksamhetens behov av spridning eller begränsning av informationen samt till de legala kraven. Andra tillgångar än information kan också klassas i överensstämmelse med klassningen av den information som är lagrad i, behandlas av eller på annat sätt hanteras eller skyddas av tillgången.

Ett problem med standarden är att begreppen inte är modellerade vilket ställer till problem till exempel genom att begreppet ”tillgång” både kan användas för själva informationen och för de bärare som används för att hantera informationen som till exempel en applikation eller ett papper. Denna brist blir alltmer problematisk eftersom organisationer i allt högre grad använder molntjänster eller delar tjänster på andra sätt vilka knappast kan ses som organisationens tillgångar. Detta ska jag fördjupa mig i vid ett annat tillfälle. Här räcker det att säga att standarden tämligen tydligt säger att det är information som ska klassas. Som en följd av den klassning som gjorts av informationen kan även andra tillgångar klassas, t.ex. genom en klassning av system.

Enligt standarden ska:

Modellen för informationsklassning bör omfatta regler för klassning samt kriterier för granskning av klassificering över tid. Skyddsnivån i modellen bör bedömas genom att analysera konfidentialitet, riktighet och tillgänglighet samt andra krav för den aktuella informationen.

I 27001 finns bilaga A som ofta brukar uppfattas som en kravlista för att uppfylla standarden avsnittet A.8.2. Informationsklassning med där målet med klassningen sägs vara:

Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.

Den modell som används ska alltså inte bara innehålla beskrivning av säkerhetsåtgärder i olika skyddsnivåer utan också kriterier som för skyddsnivåer som ger en kontinuitet över tid oavsett den snabba tekniska utvecklingen. Klassningen ska kunna genomföras utifrån konfidentialitet, riktighet och tillgänglighet men också utifrån andra krav som är aktuella.

Mina egna krav

Efter att ha arbetat med informationsklassning i vitt skilda organisationer med helt olika typer av informationshantering kan jag se vissa generella krav som måste uppfyllas om klassningsaktiviteten  ska få en säkerhetshöjande effekt.

  1. Det måste vara information och organisation som är i centrum. Precis som standarden pekar på så är första steget att identifiera information, klassa den utifrån värdet och betydelsen för verksamheten inklusive betydelsen av att kunna uppfylla externa krav. Att klassa system, vilket fortfarande förekommer, ger en i mitt tycke svag verksamhetsanknytning. Detta eftersom det inte råder ett ett-till-ett-förhållande mellan verksamhet, informationsmängder och system. Det är i de allra flesta fall bara en delmängd av en verksamhets information som hanteras i samma system och det är därför svårt att få en bild av informationens betydelse och värde för verksamheten genom att bara titta på ett system. Ytterligare ett skäl att undvika att blanda samman klassning av information respektive av system kan illustreras av ett exempel jag använt flera gånger. En kommun som ska klassa konsekvenserna av att informationen om att stänga fönstren och hålla sig inomhus vid en gasolycka inte når fram till invånarna kan inte bara klassa webbplatsen. Istället måste man titta just på informationen, därefter se vilka bärare och rutiner som är lämpliga inklusive reservlösningar. Att bara titta på webbplatsen belyser helt enkelt inte situationen.
  2. Det måste finnas skyddsnivåer som är beskrivna för de bärare som används för informationen. Med det avser jag system, applikationer och it-tjänster men även krav på hur den pappersbundna hantering som alltjämt finns kvar ska ske. Skyddsnivåerna måste även innefatta krav på det fysiska skyddet som omger information och utrustning.
  3. Skyddsnivåerna måste vara beskrivna på ett konkret sätt som går att använda som en kravspecifikation både för den egna verksamheten, dels som stöd vid upphandlingar.
  4. Det måste gå att differentiera så att det görs åtskillnad på krav från de olika aspekterna konfidentialitet, riktighet, spårbarhet och tillgänglighet. Att ha höga krav på tillgänglighet innebär på intet vis att man alltid har samma höga krav på konfidentialitet. Åtgärder för uppnå det ena kan ofta motverka det andra vilket kan leda till att informationsklassning försämrar möjligheten att uppnå en anpassad säkerhet.
  5.  Det  måste det finnas en aktiv förvaltning av både krav och föreslagna skyddsåtgärder så att de inte blir vilseledande och i värsta fall kan leda till en falsk trygghet som underminerar ett systematiskt säkerhetsarbete som hela tiden måste möta nya risker.
  6.  Jag har alltid förordat att information som faller under säkerhetsskyddslagen, d.v.s. som kan på verka rikets säkerhet, ska behandlas separat eftersom det för denna information finns fastställda krav på rutiner och utrustning som ligger utanför verksamhetens normala miljö. Det är ofta lätt att identifiera denna typ av information och skapa ett separat spår för den och sedan fortsatta den övriga klassningen.

Test av KLASSA

Som användare möts man av ett fräscht och lättnavigerat gränssnitt vilket skapar förväntningar.  Jag utlovas att kunna få ”informationssäkerhetsklassa” (litet knölig term men det är kanske för att göra en distinktion mot det KLASSA som används i ett arkivperspektiv) informationen i ett verksamhetssystem, att göra en handlingsplan och att få en lista med upphandlingskrav. Redan här finns ju ett problem genom att det är ”informationen i ett verksamhetssystem” som ska klassas vilket ger en rätt föråldrad syn på relationen mellan verksamhet, information och it-lösning som jag försökt beskriva ovan.

Positivt är dock att klassa har med aspekten spårbarhet. Detta är en nödvändighet för de organisationer som har verksamhet inom vård med tanke på de krav som ställs på detta i den relativt nya föreskriften från Socialstyrelsen HSFL-FS  2016:40.

Men vilket praktiskt stöd får jag genom KLASSA? Jag tänker mig att jag klassar informationen i två olika verksamhetssystem med stor spännvidd. Det första är ett tänkt rumsbokningssystem för kommunhuset i Söpple, det andra ett vårdsystem för äldreomsorgen i samma kommun.

Jag erbjuds att klassa i fem nivåer från 0= ingen eller försumbar skada till 4= synnerligen allvarlig skada. För nivå 4 finns en oklar formulering:

Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa.Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger.Informationen omfattas av t ex säkerhetsskyddslagstiftningen.

Är det endast för uppgifter som är hemliga eller är det även andra uppgifter som kan utgöra omfattande fara för liv och hälsa om de röjs? Säkerhetsskyddslagen säger inget om liv och hälsa – det är andra värden som avses skyddas i den lagstiftningen. Det är inte heller rimligt att föreställa sig att sjukvård ska bedrivas med den utrustning och de rutiner som säkerhetsskyddet stipulerar (RÖS- och signalskydd för att ta ett par exempel). Detta är en besvärande oklarhet. När jag som test fyller i nivå 4 får jag till svar:

Du har klassat kravområdet Konfidentialitet som nivå 4. Kraven på dessa typer av system hanteras inte via KLASSA. Kontakta organisationens informationssäkerhetsansvarige för hantering av denna typ av information.

Jag förstår helt enkelt inte var liv och hälsa kommer in här eftersom konstruktörerna av KLASSA verkar avse endast rikets säkerhet.

För mitt rumsbokningssystem fyller jag i att det kan bli måttliga skade-effekter i alla aspekter (nivå 1) och får ut en kravlista som jag sedan kan bedöm hur väl jag uppfyller. Skadeeffekten är beskriven som:

  • Inga märkbara större svårigheter för verksamheten att nå målen.

  • Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation.

  • Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.

 

Med tillägget

  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet.

för aspekten tillgänglighet.

För vårdsystemet väljer jag lika konsekvent nivå 3 vilket står för:

  • Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen.

  • Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.

  • Individers liv och hälsa äventyras.

med tillägget:

  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet.

Jag har några synpunkter på beskrivningar av skadeeffekterna som jag väljer att hoppa över i detta redan alltför långa inlägg. Istället ska jag fokusera på det stöd jag får ut.

 

Grunden är att konstruktörerna har gått via kravbilagan till ISO 27000. Detta leder till ett stort principiellt problem och några praktiska.  Det principiella består i en underförstådd tolkning av kraven i bilaga inte ska tolkas som en helhet utan att säkerheten höjs genom ju fler av kraven som uppfylls. Detta är inte min tolkning vilken istället är att alla organisationer som eftersträvar att följa standarden ska uppfylla samtliga krav men på olika nivå beroende på sitt behov av skydd. Organisationer som certifierar sig gör ju ett Statement of Applicability (SoA) om de inte anser att kravet är tillämpbart i deras organisation.

Det praktiska resultatet av detta principiella val i KLASSA är att listan över säkerhetskrav (som numreras utifrån standarden) är betydligt kortare för rumsbokningssystemet än för vårdsystemet. Detta skulle kunna förefalla rimligt och som ett tecken på att säkerhetskraven är lägre – alltså färre krav. Jag tycker dock inte det när man ser vilka krav som saknas för rumsbokningssystemet. Exempel på vad som saknas är rena hygienfaktorer som krav på sekretessförbindelser, att identiteter inte återanvänds, styrning av loggar och uppdateringar, nätverkssäkerhet, relationen till leverantören, leverantörens åtkomst och granskning. Dessa säkerhetskrav påverkar ju inte enbart rumsbokningssystemet utan i värsta fall hela miljön som de finns i.

Att KLASSA tar sin utgångspunkt i standardens krav i sin rena form i de flesta fallen (undantag är till exempel identifieringslösningar) leder till den litet paradoxala följden att det ställs mycket få tekniska krav trots att det är system som klassas. Det leder också till att kraven är mycket öppna för tolkning och inte till någon större hjälp vare sig intern eller vid upphandling som till exempel:

 Information tillhörande systemet som lagras på externa molntjänster eller på flyttbar lagringsmedia, exempelvis mobiltelefoner, USB-minnen och externa hårddiskar, hanteras och skyddas på motsvarande sätt som övrig information tillhörande systemet.

Eller ur det excelark som kan användas som stöd för upphandling:

Leverantören ska ha en rutin för att både avaktivera användarkonton och permanent ta bort konton från systemet.

En sammantagen bedömning

Trots att behovet är stort och ansatsen tycker jag inte att KLASSA är ett bra verktyg. I vissa fall skulle jag till och med säga att det är en riskfaktor i sig eftersom KLASSA på de lägre säkerhetsnivåerna plockar bort så många självklara säkerhetsåtgärder att ett system som sägs uppfylla kraven kan vara i avsaknad av elementära säkerhetsåtgärder. Detta är en risk i systemet och i värsta fall för hela it-miljön som det finns i. Om en leverantörs åtkomst inte är styrd och begränsad i ett system kan det leda till obehörig åtkomst även i andra integrerade lösningar för att bara ta ett exempel.

Av de sex krav jag ställde upp fyller KLASSA endast delvis upp krav 2, 4 och 6 om man gör en välvillig tolkning.

Jag hoppas SKL gör ett omtag och då även ser över till exempel kraven från dataskyddsförordningen och integrerar även dem.

 

Jag tar en för laget och läser ytterligare en utredning om digitalisering

Man tror ju nästan inte det är möjligt att utreda digitalisering ytterligare en gång men det får man ändå ge regeringen – att sätta fart på utredandet, det kan den! Nu har den emotsedda utredningen om en ”ny” digitaliseringsmyndighet presenterats, med det litet sekelskiftesdoftande namnet SOU 2017:23 digitalforvaltning.nu.

Spoilervarning eller service till er som inte vill läsa längre än hit:

  • Utredningen tycker att regeringen ska ta litet mer ansvar och ta fram en plan för digitaliseringen, tydliggöra ansvarsförhållanden, ställa krav på uppföljning m.m., m.m.
  • Man föreslår att antingen ska Esam plus litet annat flytta till ESV och utgöra en myndighetsfunktion för digitalisering. Tjänsterna Mina meddelanden och e-legitimation ska förvaltas av myndigheten. Alternativt kan en helt ny myndighet bildas för detta ändamål.
  • Man promotar Mina meddelanden och säger att det krävs en ny förordning för att bland annat reglera personuppgiftsansvaret i tjänsten
  • Och  trycker på att ”informationssäkerhet och integritetsskydd beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen”

Först vill jag ge utredningen en eloge för den 40-sidiga historik som ingår. En randanmärkning är att historieskrivningen skulle blivit ännu intressantare om den även inkluderat en teoretisk diskussion i ett förvaltningshistoriskt perspektiv. Det skulle ge digitaliseringen den kontext som så ofta saknas. Det har dock inte varit utredningens uppdrag att anlägga en mer djuplodande syn på digitaliseringens roll i samhället och i förvaltning. Istället har regeringen velat ha en analys av och förslag till:

effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.

Mer konkret handlar det om att ge förslag på hur staten skapa en organisation och ansvarsfördelning för nationella tjänster som Mina meddelanden och Svensk e-legitimation. Dessa två tjänster har ju inte riktigt levererat enligt regeringens ambition och ytterligare ett uppdrag för utredningen har varit att föreslå

åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.

I övrigt är det välbekant stoff där uppgifter som i princip har funnits sedan tiden för 24-timmarsmyndigheten flyttas omkring litet i myndighetsstrukturen.

Utredningen börjar i moll. Sverige har halkar efter i digitaliseringen trots att regeringar oavsett färg sedan länge hävdat att vi ska vara bäst. I parentes sagt har jag aldrig förstått varför strävan är att vara bäst istället för att vara tillräckligt bra men det kanske bara är trist och pragmatisk jante-inställning. Utredningen söker den främsta orsaken till det icke-fördelaktiga läget i att staten under lång tid valt en decentraliserad ansvarsmodell för digitaliseringen. Hypotesen framförs med hänvisning till det stora antal utredningar från andra myndigheter (Riksrevisionen, E-delegationen, ESV och Digitaliseringskommissionen) som alla pekat på samma sak. En reflektion under läsningen är att myndigheterna visserligen enigt pekat på fenomenet men därefter lämnat helt olika svar på lösning. E-delegationen föreslår t.ex. någon slags mjuk samordningslösning som ska leda till ökad samordning medan Digitaliseringskommissionen istället föreslår en ny myndighet. Det är inte alldeles lätt att vara regering och inom ett drygt år få två helt olika förslag på lösningar från sina utredningar…

Avsnittet om organisation är begripligt vilket är något mer än vad som kan sägas om avsnittet En nationell digital infrastruktur. Det inleds med utredningens bedömning

Politiken för digital förvaltning bör utformas mot bakgrund av dess roll i den nationella digitala infrastrukturen.

Jag läser meningen om och om igen och förstår absolut ingenting. Är det politiken som bör utformas med bakgrund av dess roll i den nationella digitala infrastrukturen? Eller är det den digitala förvaltningen? Vilken roll har i så fall i politiken alternativt den digitala förvaltningen i den nationella digitala infrastrukturen? Och vad är den nationella digitala infrastrukturen? Är det lösningar som staten kontrollerar, är det infrastruktur som används för nationella tjänster?  Utredaren tycks mena att infrastrukturfrågan inte nödvändigtvis behöver kräva några heltäckande statliga beslut utan att den liksom växer fram organiskt av offentliga och privata aktörer. Det hela mynnar ut i fler frågor och egentligen inga svar.

Det avsnitt som jag av naturliga skäl är mest intresserad av är det som handlar om informationssäkerhet, integritetsskydd och personuppgiftsansvar. Utredarens bedömningar är idag att betrakta som truismer; säkerhet måste integreras i digitaliseringen, kommuner och myndigheter behöver mera stöd för att göra det men myndigheter som har ansvar för att ge stöd i ovanstående frågor är inte koordinerade. Detta är kända sanningar sedan länge så det en ny utredning skulle kunna tillföra skulle vara att komma ett steg längre än att pliktskyldigt skriva att det är viktiga frågor och föreslå vad som ska göras för att förbättra situationen.

Och det här jag återigen stöter på ett generellt problem med dagens utredningsväsende. Min referensram är tyvärr härliga utredningsinsatser som t.ex. Emigrationsutredningen 1907-1913 under Gustaf Sundbärg. Utredningen genomfördes av tidens främsta forskare på området, ny kunskap skapades och regeringen fick dessutom ett mycket kvalificerat beslutsunderlag. Dagens utredningar verkar alltför ofta bara innebära ett legitimerande av ett beslut som redan ligger och väntar. Teori, analys och vetenskaplig kompetens är inte särskilt efterfrågat. Istället hamnar utredningarna i det som jag inledningsvis gav en eloge; en sammanställning av redan publicerade källor. ”Kompilation” skulle läraren på den forskarutbildning jag påbörjade men aldrig avslutade morra innan han gav ett underkänt betyg hänvisande till det mest nesliga felsteget i skrivandet näst det rena fusket. Nu ska jag inte vara alltför njugg, utanför säkerhetsområdet finns det resonemang om hur offentligt finansierade aktörer kan betraktas som tillför ny kunskap men det känns mer som undantag. Jag har också förståelse för att utredningen med den korta tid (sedan i slutet av november 2016) som stått till förfogande knappast kan göra några djupdykningar. Frågan blir då varför man väljer att tillsätta en utredning och inte helt enkelt låta tjänstemännen på RK ta fram ett beslutsunderlag i den riktning som regeringen tänkt sig besluta. Elakt tänker jag att kanske statliga utredare om digitalisering är en av de yrkesgrupper som kan vara ersättas med robotar eftersom de ständigt kompilerar litet till utan att tillföra någon ny analys.  Vilket omedelbart slå tillbaka på mig själv för självklart skulle mitt itererade gnäll på statliga utredningar om digitalisering precis lika lätt kunna göras av en robot.

I avsnittet om informationssäkerhet, integritetsskydd och personuppgiftsansvar kompileras det sida upp och sida ner från MSB, PTS och Datainspektionens webbplatser och föreskrifter samt från Riksrevisionens rapporter, tidigare SOU:er o.s.v..  Ingen ny kunskap och ingen analys men utredningen försäkrar som så många utredningar före den att informationssäkerhet och integritet är superviktiga förutsättningar för digitalisering. Författningsförslaget gällande den nya myndigheten ser ut så här:

11 § Myndigheten ska samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.

Det är ju ett förslag som är svårt att undvika att uppfylla…

Jag uppfattar detta som det svagaste partiet i utredningen eftersom det saknar riktning, nytänkande och konkreta förslag. Pliktskyldigt refererande skjuter ingen hare. Det intressanta är när utredningen själv diskuterar s.k. eget utrymme (liksom även Mina meddelanden för den delen), vilket är en fråga med många säkerhetsdimensioner finns inte tillstymmelse till riskanalys eller diskussion om säkerhetsaspekter. Detta skildrar i ett nötskal hur informationssäkerhet och integritet hanteras i förhållande till digitalisering; välmenande omnämnande men ingen praktik.

 

 

 

Tema e-demokrati: E-demokrati i de nationella satsningarna på digitalisering

Min uppfattning är att den svenska demokratitraditionen är en deltagardemokrati och att vi bör utveckla demokratin i en deliberativ riktning inte minst eftersom det skulle gynna den samhälleliga tilliten. I ett tidigare inlägg har jag framfört att digitalisering kan vara ett verksamt stöd för att göra detta men att det kräver en uttalad linje från regeringen samt konkreta åtgärder i digitaliseringsarbetet. Jag har också hävdat det är inom den konstitutionella komponenten av demokratin, d.v.s. när det gäller individuella rättigheter, rättssäkerhet och maktdelning, som den offentliga digitaliseringen främst kan ha positiv effekt eftersom den är inriktad på förvaltningsfrågor.

Om digitaliseringen ska stärka demokratin måste denna aspekt alltså vara framlyft i de nationella satsningar som initierats av regeringen eller andra centrala offentliga aktörer. Jag ska här göra ett snabbt svep över digitaliseringsområdet och se hur demokratifrågan hanterats.

Det finns en historia inom e-demokratiområdet i Sverige där frågan fanns med i de fyra it-kommissionerna som avlöste varandra mellan 1994 och 2003, och även i regeringens it-politiska strategigruppens rekommendationer från 2006. Men är utvecklandet av e-demokrati en viktig del av dagens digitaliseringssträvanden?

Det finns två aktuella urkunder för det nu pågående digitaliseringsarbetet. Först kom den It i människans tjänst– en digital agenda för Sverige 2011 .   Därefter regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum från 2012 .

Den digitala agendan

I den digitala agendan spänns bågen i demokratifrågor:

It ska vara ett stöd för medborgardialog samt bidra till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande. En levande demokrati där individer har möjlighet att påverka beslut som rör den egna vardagen är målet för demokratipolitiken.  Inom ramen för arbetet med att stärka demokratin är prioriterade frågor goda möjligheter till insyn och inflytande, lokal- och kommunal demokrati, förstärkta möjligheter till inflytande i den demokratiska processen samt vidgat inflytande med hjälp av e-verktyg. Därför är det positivt om it är ett stöd för medborgardialog samt bidrar till att öka medborgarnas kunskap, samhällsengagemang, insyn och inflytande.

Tyvärr utmynnar målbilden i ett åtgärdsförslag som närmast är en icke-åtgärd:

Under de kommande åren är det en gemensam utmaning för stat, kommun och landsting att utveckla användningen av it som stöd i dialogen med medborgarna. Detta bör ske på ett sätt som stärker demokratin genom att utveckla en transparent demokrati och ge medborgarna ökad möjlighet att utöva inflytande i de demokratiska beslutsprocesserna. Regeringen stödjer därför bl.a. fortsatt Sveriges Kommuner och Landstings projekt Medborgardialog med stöd av it som ska pågå till 2013.

Lustigt nog ägnas betydligt mycket mer engagemang åt hur demokratiutveckling via digitalisering kan ingå som en viktig del i svensk biståndspolitik än åt hur den inhemska demokratiutvecklingen kan stärkas.

Det finns också ett flertal hänvisningar till den proposition som lade grunden för E-delegationens arbete men som också skapade en varaktig dimma kring syftet med digitaliseringen; är det för medborgaren, förvaltningen eller för näringen som olika åtgärder vidtas? Ett mycket påtagligt exempel på detta är när en ökad tillgänglighet till offentlig information framställs som ett demokratiprojekt men det egentliga syftet visar sig vara att företag ska kunna vidareutnyttja offentlig information i kommersiella syften. Detta är en följd av kombinationen av den svenska offentlighetsprincipen och EU:s PSI-direktiv vilket verkligen skulle förtjänat att få de olika syftena förtydligade.

Regeringens strategi för en digitalt samverkande statsförvaltning Med medborgaren i centrum

Denna dubbelhet följer med in i målen för regeringens strategi Med medborgaren i centrum där ett av målen är:

Öppenhet. Vi ska ta hjälp av det digi­tala för att stärka demokratin och, öka transparensen och bidra till mer tillväxt genom öppna data.

Litet längre fram trycker man på de demokratiska värden som kan stärkas:

Insyn och öppenhet är grundläggande förut­sättningar för demokratiskt ansvarsutkrävande och det är därför viktigt med transparens och tillgång till information om den statliga för­valtningen. Digitala tjänster ger möjlighet att förverkliga offentlighetsprincipen på ett sådant sätt att information inte bara görs tillgänglig på begäran. Ett exempel är Openaid.se, som publi­cerar information om det svenska biståndet.

De enda inriktningar i strategin som skulle kunna påverka demokratiska värden är tillsättandet av informationshanteringsutredningen och en förstudie om ökad transparens i Regeringskansliets remisshantering. Såvitt jag kan se innehåller inte förslaget till myndighetsdatalag som blev resultatet av informationshanteringsutredningen några förslag för att förbättra insynen, däremot ett antal förslag rörande integritet som ledde till invändningar av en rad remissinstanser. Om transparensen i remisshanteringen förbättrats är jag osäker på.

E-delegationen och Digitaliseringskommissionen

Sammantaget kan man säga att det har funnits en del ambitioner i demokratifrågor, om än vaga, i regeringens styrning av digitaliseringen. De organ som tillsatts för att realisera regeringens ambitioner kan inte heller sägas ha tagit e-demokratin vidare.

E-delegationen, en kommitté som tillsattes 2009 och fortlevde till 2015, fick av regeringen uppdraget att:

beakta den utveckling som sker inom området e-demokrati, dvs. användning av it i demokratiska processer.

Men delegationen gjorde själv en avgränsning ”av uppdraget och har inte beaktat demokratifrågor.” som man skriver i sitt slutbetänkande. E-delegationens efterföljare eSam (eSam är ett medlemsdrivet program för samverkan mellan myndigheter och Sveriges Kommuner och Landsting (SKL) om digitaliseringen av det offentliga Sverige) nämner inte demokratifrågan över huvud taget.

Digitaliseringskommissionen som haft regerings uppdrag att bistå Regeringskansliet i den fortsatta utvecklingen av digitaliseringspolitiken, bl.a. genom att ta fram underlag lämnar inte heller i sitt slutbetänkande några förslag på att förbättra e-demokratin. Däremot innehåller temarapporten Det sociala kontraktet i en digital tid från 2016 ett antal uppsatser som anknyter till demokratifrågor inklusive den personliga integriteten. Uppsatserna är av mycket varierande kvalitet där några ha ett språkbruk som knappast setts i statliga utredningar, som på sidan 66 för att ta ett exempel:

Sett ur det här perspektivet tycks många av sjukvårdens praktiker, där patienters önskemål om att slå ihop journaler inte hörsammas med hänvisning till den personliga integriteten, närmast perversa.

Lyckligtvis är inte nivån på argumentation den samma i hela rapporten men den innehåller å andra sidan mycket få förslag för att förbättra demokratin med hjälp av digitalisering. Undantaget är Ulf Bjerelds och Marie Demkers diskussion om hur digitaliseringen kan underlätta för de politiska partierna att stärka sin ställning som länk mellan medborgarna och de beslutsfattande institutionerna.

Efter denna genomgång tycker jag mig kunna konstatera att det saknas en tydlig och uttalad linje gällande e-demokrati från den här regeringen liksom från de tidigare. De generella initiativ som regeringen tagit för att uppmuntra en ökad digitalisering har inte heller kommit att handla om att stärka demokratin. E-delegationen avgränsade till och med bort det uppdrag de fått av regeringen om att beakta utvecklingen inom området e-demokrati. Bristen på engagemang är förvånande eftersom detta borde vara en angelägen uppgift då demokratin såsom vi känner den tycks alltmer hotad av auktoritära krafter.  Uppriktigt tror jag också att de digitala verktygen kan skapa möjligheter att pigga upp en förstelnad och litet rostig demokrati.  Men, som Anders R Olsson påpekade för redan för mer än femton år sedan, detta sker inte av sig själv utan förutsätter en uthållig vilja.

Jag ska återkomma till ett par frågor där digitaliseringen verkligen kan påverka demokratin i antingen positiv eller negativ riktning.

 

 

 

 

 

 

 

 

 

 

 

 

 

Inte nu heller – när ska det bli dags för säker e-hälsa?

Knappt hinner jag avsluta ett inlägg om nationell säkerhetsstrategi förrän regeringen och SKL lanserar en gemensam tvåårig handlingsplan för samverkan vid genomförande av Vision e-hälsa 2025  Som intresserad av nationella initiativ inom digitalisering och säkerhet får man ligga i för att hinna med!

Visionen innehåller inte mer konkreta mål än att vi ska vara ”bäst i världen”, ett uttryck som har en litet osund bismak i Trumps tidsålder:

År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Utöver detta nämns tre insatsområden; regelverk, enhetligare begreppsanvändning samt standarder. Under insatsområdet regelverk sägs:

Utgångspunkten i arbetet med regelverk inom e-hälsoområdet är att balansera rättigheter eller intressen såsom skydd för personlig integritet, kvalitet, säkerhet och effektivitet. De lagar och andra föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen. Regelverket bör hantera den tekniska utvecklingen. Om regelverket behöver ändras för att tillgodose kvalitet och effektivitet i verksamheten ska även behovet av integritets- och säkerhetsskydd tillgodoses.

Bortsett från att begreppet säkerhetsskydd används på ett felaktigt sätt för den sista meningen i stycket fram den för mig helt obsoleta tanken att det skulle finnas en motsättning mellan säkerhet å ena sidan, kvalitet och effektivitet å den andra. I andra branscher har man lyckats ta sig från föreställningen att informationssäkerhet är detsamma som krånglig sekretesshantering, så icke på Regeringskansliet och i SKL:s korridorer.

En handlingsplan måste väl ändå vara mer inriktad på faktiska aktiviteter tänker man hoppfullt. Samma tre insatsområden återkommer av naturliga skäl, och minst intresse ägnas regelverksområdet. Inledningen uppvisar samma felaktiga intressemotsättningar:

De lagar, förordningar och föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen, men måste också kunna hantera de specifika frågeställningar som den digitala utvecklingen medför. Insatserna syftar därför till att uppnå ändamålsenliga regelverk som både värnar individens integritet och säkerhet, och samtidigt medverkar till att främja den digitala utvecklingen. Det handlar om att balansera rättigheter såsom skydd för personlig integritet mot en jämlik, patientsäker och tillgänglig vård.

Målbilden är en aning konkretare:

Skapa ändamålsenliga regelverk som såväl värnar individens integritet och säkerhet som främjar den digitala utvecklingen, samt underlätta tillämpning och införande av regelverk i berörda verksamheter.

Det låter ju jättebra tänker jag efter att i åratal tjatat om nödvändigheten av gemensam styrmodell för informationssäkerhet. Äntligen ska det tas krafttag! Men när jag läser om de gemensamma aktiviteter som staten och SKL ska genomföra blir jag modfälld igen:

  • fastslå en process för att gemensamt identifiera och fånga behov av information gällande befintliga regler eller kommande förändringar av dessa,

  • skapa förutsättningar för en säkrare läkemedelsprocess,

  • bevaka intressen, sprida kunskap om initiativ samt vid behov ta fram nationell vägledning rörande EU-samarbetet.

Hur dessa aktiviteter ska kunna leda fram till ett gemensamt regelverk undgår mig, och om detta är det som ska genomföras fram till 2019 lär informationssäkerheten inte förbättras i vården på den här sidan decenniet. Samtidigt är det uppenbart att säkerhetsproblemen blir allt större, bara de senaste dygnen har förlossningsvården i Stockholm drabbats allvarligt, regionsjukhuset i Örebro  haft stora problem och Nya Karolinskas patientlarm slagits ut av skottsekunden. Själv har jag börjar samla på medierapporter om brister i informationssäkerheten i vården eftersom det saknas officiell statistik och det är mycket oroande läsning. Jag känner en växande förtvivlan över att riskerna faktiskt inte tas på allvar av de som styr vården, inte ens då man sätter sig ner för att planera framtiden.

Problemen går inte att lösa för varje vårdgivare utan måste samordnas. Det räcker det inte med att identifiera befintliga regelverk eller att nöja sig med att skapa säkrare läkemedelsprocess. Det går inte heller att som i den nationella säkerhetsstrategin intressera sig för sjukvården endast i krigs- och krissituationer. Vad som behövs är en stor samordnad satsning på normallägets sjukvård som du och jag är beroende av och då är det inte bara regelverk som ska samordnas. Istället måste de politiker som gärna vill profilera sig som digitaliseringens ambassadörer se litet längre än nästa val, gräva litet djupare i fickan och börja bygga en integrerad säkerhetsarkitektur. För att vi ens ska få en hyfsad e-hälsa som patienter kan lita på  krävs en stor ekonomisk satsning, jag tänker mig en informationssäkerhetsmiljard med tanke på hur eftersatt området är. Dessutom kompetens och uthållighet. För att bli bäst i världen … ja, då krävs ännu mycket mer och av detta syns ingenting i handlingsplanen.

Vart leder den nationella säkerhetsstrategin?

Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella säkerhetsstrategin som presenterades på försvarsområdets Almedalen Folk och försvar. Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt Informations- och cybersäkerhet, digitala risker, illustrerat av ett stridsflygplan.

Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument. Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration. Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten. När tillit nämns är det tillit till digitaliseringen som nämns (!) medan demokratifrågan är mycket avlägsen. Detta att jämföra med den nationella strategi för informationssäkerhet  som togs fram 2009 som hade som målbild:

  • Medborgares fri- och rättigheter samt personliga integritet.

  • Samhällets funktionalitet, effektivitet och kvalitet.

  • Samhällets brottsbekämpning.

  • Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.

  • Näringslivets tillväxt.

  • Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.

Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål. Istället inleds strategin med något som kallas ”Våra nationella intressen”.  Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”. Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning. Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.

Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot:

Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex. i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet. It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit. It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.

Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas  mellan antagonistiska respektive icke-antagonistiska incidenter. Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel. Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar. Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationella informationssäkerhetsarbetet mer begränsad. Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan. Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.

Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp? Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat. Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl. a. bygger på NIS-direktivet som håller på att tas fram. I övrigt rader som:

Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.

Vilket väl kan betyda vad som helst.

Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande. Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.

Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin:

  • Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte. Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.

  • Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt

  • Skapa ett bättre kunskapsunderlag – det är  särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider

Både mål och åtgärder måste motsvara alla de olika behov som som informationssäkerhetsarbetet ska täcka. Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten. Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet. Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

 

 

 

Varför funkar det inte? Del 9

Efter att ha spekulerat om varför informationssäkerhetsarbetet inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre. Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens rapport om informationssäkerheten vid nio myndigheter. Riksrevisionen bedömer att ”de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”. Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att ”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.”. Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.

Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare. Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.

En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar. Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar. Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter. En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.

I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå. Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas. Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är. För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp:

  • Försvarsmaktens insatser
  • Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism
  • Det civila försvaret
  • Samhällets krisberedskap
  • Stöd till myndigheter, kommuner, företag m.m. för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet. Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna. Jag tror att det är här vi måste stanna till och inse att det inte är samma informationssäkerhet som det ställs krav på i de olika sammanhangen. En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap. Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet. Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens möjligheter.

Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på. Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade. Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.

Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt. Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.

 

 

caspar_david_friedrich_-_wanderer_above_the_sea_of_fog

 

Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen. En gemensam styrmodell innebär inte att samma styrmedel används överallt. Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar. Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar. Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer. Även detta förhållande måste avspeglas i den strategiska inriktningen.

Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd. När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att det informationssäkerhetsarbete som bedrivs i normalläget integreras med statens digitaliseringssatsning. Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.

För mig är det en viktig princip att informationssäkerhetsarbetet måste styras av behov, inte av utbud. Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet. När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar. Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.