En julklapp till SKR

Här kommer en summering av min diskussion med SKR angående ett eventuellt tillämpande av offentlighetsprincipen även inom SKR. Jag inledde med ett debattinlägg i Dagens samhälle där jag försökte resonera angående varför det vore lämpligt att SKR skulle omfattas av offentlighetsprincipen.

De 3500 tecken som står till buds för en debattartikel omöjliggör naturligtvis en rättvis behandling av de frågeställningar som skulle behövas för en så komplicerad fråga som den jag lyfte. Ändå tyckte jag än då att det tydligt i min artikel framgick att det finns ett antal skäl till varför SKR:s ställning som ”ideell förening” borde omprövas.

En resonerande inställning där olika argument prövas är dock inget som intresserar SKR. Istället skickades föreningens VD för att ge ett dräpande svar. Kanske det ändå inte blev så dräpande som önskat eftersom en hel del läsare (t.ex. här och här och här) reagerade på SKR:s  icke-svar och den attityd varmed det förmedlades. Litet orolig blir man ju med tanke på att Isling rekryterats till SKR för ”att att driva organisationens förnyelsearbete vidare.” Själv tycker jag att SKR ofta verkar lida av ett attitydproblem där tjänstemännen antingen uttrycker sig med viss arrogans eller inte alls då motiverade frågor ställs. Isling är i detta fall inget undantag och är hans förhållningssätt ett exempel på den nya inriktningen för SKR bör man kanske sätta sig och titta litet på på kartan för att ta ut en annan riktning.

I min slutreplik försökte jag visa att SKR har stora möjligheter att uppnå den öppenhet som Isling menar att man vill men inte kan (enligt honom) ha. Jag pekar på paradoxen att Inera valt att frivilligt tillämpa öppenhet men inte SKR men det vilar en kanske en ännu större paradox i att SKR ska ge stöd för att utveckla demokratin kommuner och regioner. Den som ska ge stöd i demokratiutvecklingen borde rimligen vinna på att vara ett föredöme.

För att förstå SKR:s ställning måste man förstå kommunernas (inklusive landstingskommuners även om de kallar sig regioner) ställning i det svenska styrelseskicket. Även om man ofta pratar om det kommunala självstyret är alla den makt och det inflytande som kommuner har en delegation från den centrala statsmakten. Kommuners  existensberättigande ligger framför allt i att de har en territoriell förankring, d.v.s. de har en delegation för styrning av vissa frågor inom ett avgränsat geografiskt område samt beskattningsrätt för samma område. Kommunerna ska alltså kunna utgöra en motpol till den nationella styrningen och tillgodose lokalsamhällets interna behov utan att först behöva passera den nationella nivån (mycket förenklat uttryckt). Även i detta perspektiv är SKR något av en paradox. Genom sin ständiga tillväxt och överförande av allt fler kommunala frågor till en nationell nivå så blir legitimiteten hos det kommunala självstyret i samma takt naggat i kanten.

Mitt intresse i debattartikeln var dock främst inriktat på informationshanteringen där information som i kommunerna hanteras enligt TF och OSL blir utslussad till en ideell förening som inte alls har samma krav på sin hantering av samma information. Det gäller öppenheten där t.ex. stora framtidsfrågor som digitalisering och e-hälsa beslutas helt utan insyn och medborgardialog. Men det gäller även skyddet för känslig information som i ursprungskommunerna styrs av OSL. Jag tänkte på det när jag läste om SKR gjort en stor enkätundersökning om informationssäkerhet i alla kommuner och började då fundera på hur denna känsliga information hanterades inom SKR. Har de deltagande kommunerna slutit sekretessavtal med SKR och vilken information har de fått om hur informationen hanteras? Jag läser också om SKR:s statistikverksamhet där det inte står ett ord om statistiksekretess. Ytterligare en fråga där sekretessen är av central betydelse är civilt försvar där ett alltmer aktivt deltagande kommer att krävas av kommunerna. Vilken information i dessa frågor är möjlig att lämna till SKR? Det är möjligt att dessa frågor hanteras på ett utmärkt sätt men just i och med avsaknaden av tillämplig lagstiftning föreställer jag mig att behovet av avtal blir stort och något krångligt att administrera liksom att ansvarsförhållanden ständigt måste redas ut. Jag ser en risk för något jag skulle vilja kalla ”trust by proxy”, d.v.s. att man förutsätter att SKR har samma styrning som de ingående medlemmarna och därmed inte vidtar de skyddsåtgärder som är nödvändiga. Om jag låter omotiverat misstänksam ber jag om ursäkt men bakgrunden är delvis att det är mycket svårt att få uppgifter om säkerheten inom SKR. När jag exempelvis ställde en fråga för ett tag sedan om föreningen har en säkerhetsskyddschef fick jag till svar att de behövde man inte svara på eftersom man inte är en myndighet… Sammantaget tror jag man skulle ha mycket att vinna på att vara tydligare i dessa frågor och då inte bara visavi medlemmar.

Alla dessa viktiga välfärdsfrågor som SKR i allt högre grad hanterar så att de därmed försvinner från offentligheten är inte bara viktiga i nuet utan också för framtiden. Tanken att framtida forskning inte kommer att ha ett grundmaterial att utgår från för att kunna förstå hur vitala offentliga frågor beslutats svider verkligen. Att SKR inte har ett krav på sig att bevara och tillhandahålla denna information är en förlust för hela samhällsutvecklingen!

Som en liten julklapp till SKR kommer jag här med ett förslag på lösning på problemet så att SKR också kan bedriva verksamheten med den öppenhet man säger sig vilja ha. Idag är man alltså en ”ideell förening” vilket känns aningen märkligt med tanke på verksamhet och finansiering. Det gör att det i finns mycket litet av lagstiftning som påverkar hur verksamheten ska bedrivas vilket i och för sig gör det fullt möjligt att tillämpa TF och OSL på samma sätt som Inera beslutat göra.  Å andra sidan finns det en i mitt tycke betydligt mer stabil lösning, nämligen att SKR omvandlas till ett kommunalförbund som det beskrivs i kommunallagen 9 kap.  På det sättet skulle man både få en verksamhet som är effektiv, har reglerade styrformer och de krav på informationshantering som finns i medlemsorganisationerna. Det skulle bryta den nuvarande rörelsen där delaktighet och insyn försvinner när betydelsen av frågorna ökar men också ge betydligt bättre grund för samarbete mellan stat  och kommuner. I annat fall undrar jag var gränsen för SKR som ideell förening går – hur mycket kommunala uppgifter kan en förening egentligen ta över? Mottar tacksamt motargument mot omvandlingen till kommunalförbund eftersom för mig känns den lösningen ganska praktisk men säkert har jag förbisett några för andra självklara förutsättningar som talar emot en sådan lösning.

Trots min julklapp tror jag ärligt talat att intresset för att ens överväga övergång från förening till kommunalförbund är mycket svalt inom SKR, det är sällan de som har privilegier som arbetar för att ta bort dem. Däremot är det en idé att försöka få igång en debatt i riksdagen vilket kan vara en målsättning för 2020.

Dags för SKR att inte bara byta namn

Ibland är man tvungen att återvända till gamla jaktmarker. Där är jag nu. Efter en sensommar och höst då  jag funderat en hel över Inera och i förlängningen SKR blev frestelsen för stor och jag började plocka fram gamla luntor ur bokhyllan. Luntor som jag framför allt samlat på mig när jag började forskarutbildningen i ekonomisk historia med ambitionen att skriva en avhandling om landstingens roll i den svenska modellen. Sedan kom barn och livet emellan så det blev aldrig mer än en ambition. Däremot ledde det till ett fortfarande pågående stort intresse för den regionala styrningen och sjukvård samt, som sagt, till en inte obetydlig samling litteratur i frågan.

Livet är cirkulärt och nu gläds jag över att återigen ha anledning att dyka in mina gamla böcker (verkligen gamla). Jag läser om hur Svenska Landskommuners Förbund, Svenska Landstingsförbundet och Svenska Stadsförbundet via Landstings- respektive Kommunförbundet utvecklats till SKR. Från att ha varit renodlade arbetsgivarorganisationer med uppgift att ge medlemmarna stöd i förhandlingarna med de anställdas organisationer har SKR nu utvecklats till en organisation med ständigt växande antal anställda och som lika kontinuerligt påtar sig nya operativa uppgifter. Mycket stora skattemedel fördelas via SKR och en inte på alldeles anspråkslös summa (understatement) går till SKR:s egen interna organisation, se budgeten på sida 49 i denna redovisning jag fått ut från SKR. VP19 för layout

Alltså c.a. 20 kronor per medborgare och år enligt SKR själva. Slutligen leds SKR av indirekt valda politiker som även har kontroll över de bolag som ingår i SKR-sfären.

Enligt svensk lagstiftning ska offentlighetsprincipen tillämpas i alla myndigheter (inklusive kommuner och regioner) samt kommunala bolag m.m.. I OSL 2 kap står det följande:

3 §   Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter.

Kommuner och landsting ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans
1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen,
2. har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller
3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.

Vid tillämpningen av andra stycket 1-3 ska inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.

Första stycket gäller också för handlingar som efter medgivande av en kommun eller ett landsting för viss bestämd tid förvaras hos aktiebolag, handelsbolag, ekonomiska föreningar eller stiftelser där kommuner eller landsting tidigare har utövat ett rättsligt bestämmande inflytande.

Vad som föreskrivs om kommuner och landsting i första-tredje styckena tillämpas också på kommunalförbund.

För en ytlig betraktare förefaller SKR uppfylla alla kriterier som t.ex. att kommuner/regioner utövar ett rättsligt bestämmande inflytande. Ändå omfattas inte SKR av offentlighetsprincipen, ett förhållande som är allt mer förvånande ju mer man tänker på det. Bristen på insyn i en politiskt styrd organisation med den makt SKR har är en anomali i det svenska systemet som sannolikt har sin upprinnelse i de ursprungliga förhandlingsorganisationernas uppgifter. I arbetsgivarorganisationer med enda syfte att förhandla arbetsvillkor kan möjligen hemlighetsmakeriet accepteras – i en organisation som för kommuners och regioners talan i en mängd frågor, opinionsbildar på ett inte helt okontroversiellt sätt och dessutom leder allt fler operativa verksamheter kan det det inte. Inte minst att det inte går att utkräva ansvar borde ses som en mycket missklädande fläck i det offentliga Sverige.

Att slutna sällskap inte är nyttiga ens för sig själva är en ganska uppenbar slutsats efter debaclet i Svenska Akademien. Samma faror av vänskapskorruption lurar i SKR, dessutom är man utsatta för ett starkt kommersiellt tryck i exempelvis digitaliseringsfrågorna. Vad synen att digitalisering är lösningen på i princip alla samhällsfrågor bygger på när inga seriösa siffror som underbygger detta väcker frågan vems intressen som egentligen tjänas av SKR. Ökad öppenhet i denna och andra frågor skulle ställa krav på samma typ av underlag och ansvar som i de kommuner och regioner som skickat delegater till SKR. Istället urlakas den demokratiska processen markant i och med överförandet av frågor till SKR.

Det finns även andra skäl att göra en reglering i OSL så att även SKR omfattas av kraven på offentlighet och sekretess. Ett starkt sådant är att SKR allt mer fungerar som en mellanstation mellan statliga och kommunala myndigheter också kan komma att hantera känslig information som rör exempelvis informationssäkerhet. Eftersom OSL inte gäller kan det vara svårt för myndigheterna att reglera eller överblicka hur informationen hanteras i föreningen SKR. Samtidigt är det svårt för kommuner och regioner att ifrågasätta att lämna ut information om sina förhållanden till SKR.

Ytterligare ett skäl är kopplingen till arkivlagen som ställer krav på att allmänna handlingar ska bevaras inte bara av insynsskäl utan även för att garantera rättssäkerhet och möjlighet till forskning. Risken för att den helt offentligt finansierade verksamheten SKR med sin allt tyngre samhällsroll inte lämnar ett bra forskningsmaterial efter sig är överhängande.

Min enkla poäng är att om SKR agerar som en myndighet ska man behandlas som en myndighet. Det är dags för SKR att inte bara byta namn utan även vara beredda att ta ansvar i förhållande till sitt inflytande. Hur OSL och kanske TF behöver förändras och kompletteras med en rad som inkluderar SKR i dess räckvidd bör vara en ganska enkel juridisk manöver (jag är ju inte jurist så jag kan ju unna mig att ta lätt på frågan). Sannolikt är det en betydligt svårare politisk process att tvinga ut SKR:s makthavare ur den så behagliga hemliga stugvärmen men icke förty är detta vad demokratisk anständighet kräver.

Kan 1177-skandalen bli en reboot för vård-it?

Först en disclaimer. Denna text är skriven med ett visst undertryckt ursinne. Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar. Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter. De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand. Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov. Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut. Det var New public management utan management. Sedan dess har det bara fortsatt.

Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar. Det finns inget som är så lätt som att förutspå framtiden i efterhand. Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer. Jag: not so much. Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år. Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll. När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav:

Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter. Hur skyddet genomförs ska dokumenteras. Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget. Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.

ger det en indikation om hur relevant oron faktiskt var/är.  Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns. Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.

Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer. Enkla lösningar är det redan alltför många som kommer med. Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för. Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.

Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.

Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på. Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177. Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen:

2 §   Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.

När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården. Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå). I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare. Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna. Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.  Det juridiska ansvaret läggs nämligen främst på vårdgivaren:

3 §   Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.

Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp. Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens informationshantering. Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster. I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v. Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….

Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen. Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer. Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it. Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå. Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år. Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin Plattsformssamhället.

Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen. Ändå tror jag det är viktigt med ett ansvarsutkrävande. Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland. SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation. Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.  Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”. Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.

Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör? Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans. Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.  Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder. I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.

Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation. SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård. Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL. Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen. Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.  Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk. Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården. Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten. Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt. Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.  Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den. Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB webbplats. Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs. SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer. Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om här. Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida. Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller. När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som här.

I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra. Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer. Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen. Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården. Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.

Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.  Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på. Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga. Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.

Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd. Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder . Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet. Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet. Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

  1.  Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
  2.  Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
  3.  Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering. Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
  4.  Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut. En central fråga är det reella ansvarsutkrävandet.
  5. Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
  6. Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
  7. Ta fram en gemensam styrmodell för informationssäkerhet i vården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
  8. Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
  9. Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
  10. Utveckla utbildningar för de som ska arbeta med informationssäkerheten i vården.
  11. Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

Ta det lugnt och läs en bok

2018 har varit ett bra år för mig personligen men knappast för världen i stort. Jag kommer därför inte att ge några julgåvor, inte skicka några godiskorgar eller julkort utan istället investera litet pengar som ett mycket anspråkslöst sätt att påverka vår gemensamma framtid i rätt riktning. Om andra får inspiration att göra detsamma – desto bättre!

Jag donerar därför 10 000 kronor till Civil Right Defenders som arbetar för att försvara människors medborgerliga och politiska rättigheter och stärker människorättsförsvarare som är utsatta för risker. Idag när grundläggande demokratiska värden ifrågasätts av allt fler känns detta som en organisation med större relevans än någonsin. Det går att swisha
valfri summa till 900 12 98 men man kan också bli månadsgivare. Flera alternativ finns här.

Det är lätt att glömma bort allt gott arbete som sker lokalt och som gör vårt samhälle bättre. När man som jag lever ett kringflackande liv är det svårt att bidra till detta arbete i det dagliga men då kan man ändå stödja de fantastiska människor som varje dag gör livet litet bättre för människor. Jag har därför valt att även ge 10 000 kronor till Världen i Värmland som är ett nätverk som arbetar för att förbättra situationen för unga människor som kommit som flyktingar till Värmland. Nätverket samarbetar med flera av kyrkorna i länet, Röda Korset m.fl. För den som också vill bidra till detta finns swish 123 262 5648 och bg 510-3338. På facebook-gruppen med samma namn finns information om de många aktiviteter och insatser som görs.

(Jag kommer även att ge en summa till Djurskyddet som tar hand om katter i nöd men det säger jag inte för att undvika att framstå som en crazy cat lady…).
Annars önskar jag alla en god jul och ett gott nytt 2019 där allt blir litet, litet bättre! Och att alla tar det litet lugnt och läser en god bok.