Äntligen! Datainspektionens granskningar av vården

Efter långt om länge släppte nu äntligen Datainspektionen (snart Integritetsskyddsmyndigheten) sina granskningar av åtta vårdgivare. Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt. Låt mig först understryka att det Datainspektionen ställer krav på inte är några nya krav för vården utan de har funnits sedan länge bland annat i Socialstyrelsens föreskrifter och i PuL. De brister som framkommer i granskningar har inte  heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen gjorde typ 2012. Det är alltså inte så att vårdgivarna är tagna på sängen med helt ny rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.

Egentligen räcker det att läsa följande stycke  i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är:

Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda. Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter. Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 miljoner patienter i TakeCare.

För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB:

Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”. Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både  för den inre sekretessen och inom ramen för den sammanhållna journalföringen. Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper. Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp. Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.

Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte. Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.

Capio St Göran fick 30 miljoner i sanktionsavgift  och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika. Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar. Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara vad gäller integritetsrelaterade frågor som de Datainspektionen granskat utan generellt. Jag har begärt en större del av underlagen från Datainspektionens granskningar och ska fördjupa mig ytterligare i dem. I detta blogginlägg ska jag ta upp några fenomen som aktualiseras i de granskningsfynd som presenteras i de offentliggjorda rapporterna. Utgångspunkten är att den usla säkerhet som indikeras genom granskningarna är en följdriktig konsekvens av ett konsekvent förhållningssätt till integritet och säkerhet i vården från olika aktörer.

För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget. Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är inte ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation. Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla kan inte vara totala journalnördar – skulle någon vilja veta mer så får ni skicka ett mail). På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler för vem som fick ta del av dem. Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet. Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.

När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation.  Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man  (med ”man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter. Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).

Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag. De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för följa lagen och ha ens ett basalt skydd för patientuppgifterna. Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten. I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet. Det ledde till en ond spiral där krav på korrekt behörighetshanteringen inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet. Det är därför en särskild glädje att Datainspektionen i granskningen av Capio S:t Göran slår fast att loggning inte kan ersätta att begränsa åtkomst via behörighetshantering:

Capio S:t Görans anger att de använder systematisk logguppföljning för att reducera risken för att medarbetare otillbörligen tar del av patientuppgifter. Datainspektionen konstaterar att patientdatalagen inte lämnar något utrymme förvårdgivare att kompensera frånvaron av behovs-och riskanalys, eller en allt för bred tilldelning av behörighet tillåtkomst, med en omfattande logguppföljning.

Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Datainspektionen som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt. Det känns också bra att Datainspektionen drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.

Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it. Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en vårdinformationslösning som går emot dataskyddslagstiftningen och sedan i sista minuten ändrade sig. Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.

Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfällig lösning som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras. Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s. att legitimera kända risker i nya lösningar med den falska jämförelsen med dagsläget.  Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Datainspektionens  aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar behov och inte risker.  För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker. Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada. Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.

Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet. Saknas denna förutsättningen kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande. I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Datainspektionens granskningar. En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB:

Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.

Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda. Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet. Aleris är endast användare av systemet.

Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet. Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion. CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.

Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte. Aleris har en representant i FSTC som kan framföra Aleris önskemål. Aleris har dock inte fått något gehör för bolagets synpunkter.

Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det. Om vi nu hypotetiskt litar blint på att Aleris verkligen ställt rätt säkerhetskrav är det alltså  FSTC  som drivs av Region Stockholm som inte bara förorsakat kränkningar av ett mycket stort antal patienters integritet utan också ”användarna” Aleris sanktionsavgifter. Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så at de följer lagstiftningen även om regionen inte prioriterar den frågan.

Trots att det i övrigt finns en mycket god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den. Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det. Är det någonstans där Datainspektionen bör göra nästa granskning så är det hos SKR:s it-bolag Inera. Detta är särskilt angeläget eftersom lösningar som NPÖ som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) som inte bara drabbar den enskilde vårdgivare utan samtliga vårdgivare som använder.

En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Datainspektionen. Några granskade verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på. Förhoppningsvis kan tillsynsansvaret i och med NIS-direktivet leda till att IVO utvecklar sina granskningsmetoder. Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt. Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m. genomföra granskningar tillsammans. Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Datainspektionens granskningar genomförts.

I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet. Jag har tidigare skrivit om att MSB:s knytning till ISO 27000 och det metodstöd som utvecklats i denna anda knappast är till hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet. Datainspektionens granskningar som endast rör ett par aspekter av säkerheten borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vården säkerhet eftersom detta är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av. En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i sanden ta sitt ansvar och börja bygga för framtiden.

 

 

 

 

 

Standardens paradox

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet. När jag började var det BS 77 99 och nu har vi en hel 27000-familj.

Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen. Jag har redan skrivit ett antal inlägg, bl a här och här  berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet. Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälpt informationssäkerhetsarbetet.

En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa. Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas. Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur. Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”. Självklart förstår jag lockelsen i att det skulle kunna fungera så. Problemet är att det inte gör det.

Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått. En av mina favoriter är standarden för avstånd mellan hålen för hålslag. Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.  Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden? När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?

I en mycket intressant artikel från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till. Som en bakgrund gör de en åtskillnad mellan s.k. de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering. Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.  27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.

Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden:

De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them (Smith et al., 2010; Tsohou et al., 2010). Standards are said to be consensus-based; they reflect “best practices,” as negotiated by experts. In fact, on their website, ISO refers to “standards” and “best practices” interchangeably. “Best practice” is generally referred to as “a working method or set of working methods that is officially accepted as being the best to use in a particular business or industry” (Cambridge Dictionary, 2019). The rhetoric is that standardization is “governed by the principles of consensus, openness, transparency, national commitment and technical coherence” (CEN, 2015) where “groups of experts from all over the world” (ISO, 2014) make “top quality standards” (ETSI, 2014 1423). Thus, the negotiation between experts takes place in discourses, where best practices are constructed through wordings of the standards.

De jure information security standards are likewise made valid and legitimate through an “appeal to common practice and authority” (Siponen and Willison, 2009). However, there is a lack of empirical evidence for what is considered best practice in standardization, because the discourses governing the reasoning remains hidden from public view. It is, therefore, difficult to evaluate the reliability and objectivity of information security standards (Siponen and Willison, 2009). Thus, when considering the pervasive and normative role these best practices have on safeguarding information, information systems, and infrastructures controlled by such systems, it is important to understand the discourses that construct them. If these standards do not represent best practices, then a large number of countermeasures would share the same type of vulnerabilities.

Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls. Eftersom den inte bygger på evidens skulle dess USP bestå just i en bred erfarenhetsbaserad kunskap. Om inte denna grund finns påverkas naturligtvis standardens legitimitet. Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”. Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet. Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.

Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval. Detta bygger jag på att informationssäkerhetsarbetet knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s. de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård. Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja. I Finland antogs i år en rekommendationssamling  av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard:

Rekommendationerna hänvisar inte till några allmänna standarder eller referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt. Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.

Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina regler för informationssäkerhet i vården, man ville inte referera till någon särskild standard. Uppfattningen var att det var möjligt  att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.

När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter. Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas. Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga. Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur. Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.

Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetens informationssäkerhetsarbete i Sverige. Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp. Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.

Marshmallows och digitalisering

Häromveckan kom en OECD-rapport där det framkom att Sverige enligt de måttstockar som användes inte var så bra på digitalisering. Rapporten väckte förvåning och upprördhet i vissa kretsar. Jag kan på sätt och vis förstå att det kan upplevas som en kalldusch med tanke på hur mycket offentlig ”digitalisering” haussas och sponsras. Samtidigt får jag litet drygt medge att jag inte är såååå häpen. Den svenska digitaliseringen har under decennier fört en haltande tillvaro trots att den ständigt varit omgiven av jublande kaskader av pepp.

Under dessa år har olika mystiska nationella organisationer skapats, marknadsförts och sedan dött utan att lämna några imponerande spår efter sig. Ur minnet kan jag rada upp följande:

  • Toppledarforum
  • E-nämnden (Nämnden för elektronisk förvaltning)
  • 24-timmarsmyndigheten
  • Verva
  • E-delegationen
  • E-legitimationsnämnden
  • Digitaliseringskommissionen
  • Digitaliseringsrådet
  • DIGG

Utöver detta har diverse ännu mer kortlivade initiativ tagits av regeringar i form av råd och kanske den mest luftiga av alla: en nationell CIO, en funktion som lyckligtvis evaporerade efter mindre än ett år. Av allt detta finns idag bara DIGG kvar – en myndighet med oklart ansvar och mandat.

Efter att ha rört mig i både närmare centrum och och för det mesta i periferin av dessa cirklar så finns det vissa genomgående drag som jag tycker mig kunnat notera. Bara uppräkningen av alla flyktiga organisationer som haft en förväntan på sig att samordna den svenska digitaliseringen visar på det kanske främsta problemet: bristen på kontinuitet. Det har aldrig funnits en långsiktig plan med prioriteringar för hur den offentliga digitaliseringen ska rullas ut. Bristen på strategisk inriktning skulle i sig kunna vara en strategi, att den svenska staten gjort en välavvägd bedömning att en organisk framväxt  utan styrning av digitala lösningar på sikt skulle gynna samhället bäst. Om detta har varit planen har den dock hållits väl dold. Verkligheten tyder på, i alla fall för mig, att planering och tydlig inriktning hade varit mycket önskvärt för att skapa en fungerande digital infrastruktur.

Kanske var vi närmare en möjlighet att skapa en infrastruktur på slutet av 90-talet än idag. Då fanns en medvetenhet om att Sverige hade unika möjligheter bland annat genom denna snabba spridningen av hemdatorer som skett då anställda fick möjlighet att med förmånliga villkor skaffa sig en egen dator via arbetsgivaren. Då diskuterades hur en statlig e-legitimation skulle kunna införas som en central infrastrukturkomponent. Själv tyckte jag att det var en rimlig förlängning av ett statlig åtagande: folkbokföring, personnummer och sedan e-legitimation skulle fullfölja en lång linje i svensk förvaltningshistoria som skulle kunna vara byggstenen för många andra lösningar. Men sedan hände ingenting, varje år sas det att i september – då kommer den att komma! Vet ej varför just september var en så bra månad för att lansera e-leg men i min något osäkra minnesbild var det så. En myndighet (E-nämnden) bildades 2003 för att leva i två somrar med uppdrag att

stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av.

Detta inkluderade även e-legfrågan. Men som sagt någon statlig e-legitimation blev det inte då vilket jag är ganska övertygad berodde på ideologiska skäl. Politiker av olika schatteringar gick all in för nyliberalism och ville hellre att ”marknaden” skulle hantera e-legitimationerna vilket säkert påverkade införande och fördröjde en säker infrastruktur-utveckling. Att jag tagit upp denna gamla historia är mest för att peka på ett annat återkommande tema i den svenska digitaliseringen, nämligen att det saknats öppna och tydliga diskussioner om hur staten och marknaden ska samverka på bästa sätt för gynna samhället. Istället har framtagandet av digitala lösningar skett i en ideologisk blindhet som lett mycket stora kostnader (tänk bara Hälsa för mig) utan att det lett till de resultat som eftersträvats.

Och vad är det då för resultat som eftersträvas? Man skulle tycka att med den stora förväntan på digitalisering och AI som lösningen på alla problem liksom de miljarder som pytsats in att även utan plan så skulle det vara nödvändigt att ha någon slags tydliga mål som går att följa upp. Så är dock inte fallet om man inte räknar det outsägligt fåniga målet att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter” som tydligt. Istället vimlar det av fluffiga utsägelser som digitaliseringen ska rädda allt från äldreomsorgen till exportindustrin och självklart skolan. Exakt hur det här ska gå till beskrivs vad jag kan se varken av infrastrukturdepartementet, DIGG eller digitaliseringsevangelisterna SKR  trots att man skrivit vad man kallar mål och strategier. Det förväntas bara ske.

Det ligger något av en paradox i att digitaliseringslösningar idag så ofta används för att mäta som en del i det rådande NPM-paradigmet när det samtidigt sker så litet av formell utvärdering av vad digitaliseringen faktiskt leder till. Om man går in de traditionella utvärderarna av ”vad f-n får vi för pengarna?” som Riksrevisionen, Statskontoret och, när det gäller e-hälsa, Myndigheten för vårdanalys finns påfallande få granskningar och rapporter skrivna just om digitalisering. Riksrevisionen publicerade 2016  en rapport som knappast är en av dem som länder revisionen till heder med tanken på kvaliteteten som kontrollerar om myndigheter digitaliserat tillräckligt mycket – inte vad digitaliseringen lett till. Detta är i sig en generell tendens, att se digitaliseringen i sig som något ”gott” samtidigt som man i nästa andetag säger att digitaliseringen inte är självändamål. Men vad kan vara mer självändamål än att ha som mål att ”Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter”? Däremot kom 2019 en granskning  om digitalisering och nyföretagande som faktiskt sätter nyföretagandet i centrum – inte digitaliseringen. Utöver detta finns det inte mycket att hämta om digitalisering hos Riksrevisionen om man är intresserad av resultatet av statens insatser på området. Statskontoret har skrivit myndighetsanalyser av bl.a. E-delegationen, Digisam och Digitaliseringsrådet (spoiler alert: de har inte lyckats så bra) men egentligen inget vad jag kan se om digitaliseringen i sig. Riksrevisionens och Statskontorets uppdrag kan möjligen göra dem något begränsade i sina granskningar men att Myndigheten för vårdanalys inte haft detta som ett starkt granskningsområde förvånar mig starkt. Med tanke på hur e-hälsa, välfärdsteknologi, AI och digitalisering lyfts fram  som vårdens frälsare borde utfallet av detta vara mycket angeläget att kontinuerligt följa. Som det nu är hittar jag egentligen bara en rapport som handlar om cancervården specifik. Ett projekt om äldreomsorgens digitalisering ska slutlevereras 2023 och inriktningen ”Myndigheten ska bedöma hur digitaliseringen av äldreomsorgen bidrar till verksamhetsutveckling, med särskilt fokus på kostnadseffektivitet.” – alltså hur ska digitaliseringen ”effektivisera” äldreomsorgens.  Sammanfattande kan jag förstå om det är svårt att göra granskningar med så fluffiga mål för vad är det egentligen som ska följas upp?

Min egen anekdotiska upplevelse är att den svenska digitaliseringen lider svårt av ett marshmallowssyndrom. Ni vet det där gamla experimentet om uppskjuten tillfredställelse som sedan har ifrågasatts men som jag ändå använder här som bild. På Stanford university erbjöds fyraåring att marshmallows med förutsättningen att om de kunde motstå att genast sluka den godbit de fick och kunde vänta några minuter kunde de istället få två. Tanken var att de som kunde planera och motstå frestelsen blev framgångsrika längre fram i livet. Den svenska digitaliseringen tyckte jag ofta har liknat barnen som inte kunde låta bli att genast tillfredsställa sitt sötsug. De politiker, tjänstemän och företag som drivit på digitaliseringen har dock styrts av starkare tobak än marshmallows men kontentan blir att det idag saknas en plan. Det tycks som man ofta gör saker för att man kan, inte för att man analyserat och kommit fram till att det är rätt steg i en bestämd riktning.

Detta leder också till den intressanta frågan vems intressen tjänar den nuvarande digitaliseringen. Som redan nämnts är äldreomsorgen ett frestande område att digitalisera, mindre så digitaliseringsbyråkraternas egna jobb. Jag ska inte ge mig in på David Graebers tankar om Bullshit jobs (läs gärna själva!) men tanken på de undersköterskor som flänger omkring som torra skinn i äldreomsorgen är de som ska effektiviseras och inte de som har bullshit jobs är djupt störande. Jag tänker också på vad en äldre människa tjänar på att inte få en människa som kommer och hjälper till med matning utan en robot. Detta borde vi prata mycket mer om.

För att ingen ska missförstå ovanstående: jag vet och uppskattar den ständigt puttrande digitaliseringen men skulle uppskatta en plan.

Effektivisera informationssäkerhetsarbetet!

I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt. Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas. Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt. För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser. Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m. tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.

Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet. Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar. Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder. Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till. Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre. Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat men den informationssäkerhetsansvarige som initierat dem kan bocka av en ruta. För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.

Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling. Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att ha kontroll över sin information. Har man inte det så har man inte en fungerande informationssäkerhet. Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast. Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast. Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”. Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet. Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift. ”Stöd” sågs helt enkelt som synonymt med någon slags programvara. Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra. I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar. Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?

Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ. Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg. De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet. Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.

För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman. Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag. Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare. En central del i omsorgen av äldre är läkemedelshanteringen. Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång. Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig. Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst. Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.  Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.

En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.

 

Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen:

 

 

Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan. Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen. Den intresserade kan notera följande:

  1. Merparten av informationsmängderna är även de att betrakta som tämligen generiska
  2. Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen
  3. En stor del av informationen finns på flera bärare samtidigt
  4. I hela processen är spårbarheten är essentiell för patientsäkerheten

Detta är inte på något sätt unikt för den här processen utan gäller för många andra. Slutsatsen man kan dra är att om man seriöst ska arbeta med informationssäkerhet så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen. Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas. Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form. I den ovan beskrivna processen finns t.o.m. bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.

Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra. Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en normerande klassning i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda. Dagens rekommendation från myndigheter och SKR är  att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg  ska klassa system i varje förvaltning. Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.  Enligt Almegas beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg. Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden. Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.  Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen. Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat. Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar. Betänk också att detta bara är en av flera processer bara i äldreomsorgen.

Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar och skyddsnivåer. Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa. Koppling till krav i föreskrifter med mera bör även finnas. Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex. fysiskt skydd av papper. En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer. Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv. Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.

Vad skull då detta kunna innebära i praktiken? Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld):


Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens. Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.

Som en bonus kan även krav på bevarande och gallring läggas in.

Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt. Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången. Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.

Tack Calle Lilius för bilderna!

Den byråkratiska informationssäkerheten

Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap. Under sommaren har jag en forskningsantologi kallad Statlig förvaltningspolitik för 2020-talet. Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor. Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.

Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga. Tyvärr är det mycket som känns obehagligt välbekant. Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar. Vi kanske ödmjukt borde inse att informationssäkerhet alltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet. En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter. Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder. Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.

Givna frågor borde vara:

  1. Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
  2. Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet? Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
  3. Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt? Och kommer den även att fungera över tid, t.ex. när konsulten lämnat skeppet?
  4. Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

Varför fungerar då så mycket av informationssäkerhetsarbetet så dåligt trots de avsevärda resurser som läggs på det från olika håll? Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna. NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet. Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag. Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande. Det som regleras är vad som ska göras men inte hur. Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen. Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?

NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om hur olika säkerhetsåtgärder ska utföras. Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva. Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.

Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd. Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.

Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade. Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen. Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.

Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet. Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar. Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.

Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet. Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter. Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder. I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg. Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.

En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs. att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare. I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet. Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).

Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet. Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas  i de olika aktiviteterna i processen. Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd. I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid. Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig. Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare. Och, observera, den normerande klassningen är bara ett stöd. Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.

Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.

Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet??? Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används. Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp. Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.

En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta. Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd. (Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).

Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det. Det är inte i mängden dokument säkerheten sitter.

Informationssäkerhetens Mary Poppins

Antalet konsulter har tillväxt kanske inte explosionsartat men massivt under de senaste decennierna. Det skulle föra för långt att ta upp alla bakomliggande orsaker till detta i ett kort blogginlägg. Jag tänkte istället ägna mig åt litet självspäkning så här i slutet av sommaren och resonera litet om informationssäkerhetskonsulter och vilken eventuellt nytta eller skada vi kan bidra till. För dessa resonemang har jag inte något specifikt stöd gällande konsulter inom informationssäkerhetsområdet men utgår från forskning angående managementkonsulteri generellt. Tankarna som presenteras nedan bygger dock främst på mina egna erfarenheter från båda sidor upphandlingsbordet samt av de studier av de palimpsestlika konsultinsatser som man alltför ofta stöter på som konsult. Det vill säga de ofta flerfaldiga lager av tidigare uppdrag som inte lett till något varaktigt säkerhetsarbete men som lever kvar som bortglömda power points, ibland regelverk som är copy paste ur standarden och som resignation i organisationen: ”vi har ju redan försökt och det gick inte”.

Marknaden för informationssäkerhetskonsulter har som sagt växt. Många organisationer, både privata och offentliga, ser behov externa specialister för att förbättra sin säkerhet. Men flera faktorer försvårar redan i upphandlingsskedet.  En sådan faktor är att det är marknad där ”varan” saknar en tydlig definition för vad ska egentligen en sådan konsult ha för bakgrund och kompetens? När det inte ens finns en tydlig överenskommelse om vad informationssäkerhet ÄR och än mindre krav på enhetliga utbildningar med fastställt innehåll så är förvirring en självklar konsekvens. Vanligaste förvirringen är sammanblandningen av informations- respektive it-säkerhet där både leverantör och kund ofta har inriktning på teknisk säkerhet snarare än den organisatoriska säkerhet som är grunden för informationssäkerheten.

Leverantör och kund kan med denna bakgrund ha helt olika uppfattningar om vad som ska levereras. Genomgående har leverantörer ett kunskapsövertag – det är ju de som förväntas sitta på expertisen. Om kunden inte har gjort ett ordentligt förarbete med analys av vilken typ specialiststöd man egentligen behöver kan leverantören på olika sätt styra vad som faktiskt kommer att levereras. Detta moment 22, att man har alltid för litet intern kompetens för att kunna beskriva vad som behövs innan man har upphandlat kompetens, gäller inte bara för enskilda organisationer. Under åren har jag sett ett rätt stort antal gemensamma ramavtal som haft samma brist. Upphandlingen tycks formad av önskan att hitta en informationssäkerhetens Mary Poppins som bara glider in och fixar till saker utan att besvära organisationen.  Resultatet blir bland annat att rena teknikföretag kan kapa åt sig uppdrag där organisatorisk kompetens är helt nödvändig.

 


När ingen annan kan beskriva vad en ”informationssäkerhetsspecialist” är och vad som krävs för att arbeta som en sådan är det naturligtvis ett omöjligt krav att ställa att just den upphandlande organisationen ska göra det.  I ett antal upphandlingar och även anställningsförfarande har  varit med om att några yrkesgrupper anser sig kompetenta även om de aldrig arbetat med informationssäkerhet, läs militärer och poliser. Tidigare har jag skrivit om att informationssäkerhet fortfarande i hög grad är en erfarenhetsbaserad kunskap där juniora utövare lär sig av seniora dito. Men hur ska krav på denna typ av erfarenhet ställas i en upphandling och hur mycket enklare vore det inte med någon typ av examen kompletterad med praktik under x antal år? Under senare år har det dykt upp krav på att konsulter ska vara certifierade. Detta menar jag är ett attraktivt villospår. De certifieringar som ofta refereras till lider dels av att vara utformade främst för amerikanska förhållande, dels ha teknisk inriktning. Det är inte till mycket hjälp när man ska få till en organisatorisk styrning i en svensk kommun eller myndighet.Själv skulle jag alltid ge företräde till en konsult med akademisk examen i samhällsvetenskapliga ämnen framför någon med aldrig så många certifieringar men utan examen.

Ett trick som ibland har använts när upphandlingarna inte varit tillräckligt tydliga i kraven är att leverantören erbjuder en senior konsult men det sedan i praktiken blir juniora konsulter som får genomföra uppdraget. Till viss del kan sådana ageranden uppmuntras genom upphandlingens konstruktion och hur man hanterar dilemmat att å ena sidan försöka uppnå en trygg leverans av konsultkraft från leverantören, å andra sidan få tillgång till verkligt kvalificerade konsulter. Om betoningen läggs på att leverantörens förmåga att leverera kvantitet finns det en risk att konsulter ses som utbytbara. En annan nackdel är att mindre leverantörer utesluts från möjligheten att lämna anbud. Med risk att trampa folk på tårna är min erfarenhet att många av de mest kvalificerade konsulterna inom informationssäkerhetsområdet väljer att starta eget eller att arbeta i mindre bolag så att satsa på kvantitet i upphandlingen kan leda till att man kanske missar kvalitet.

Sedan är den upphandlingstekniska utformningen som ska formulera vad kunden prioriterar. Ska man göra en bred utannonsering eller räcker det med att vända sig till några få leverantörer? Är det priset, kvaliteten eller tiden som är viktigast? För offentliga organisationer finns också omfattande regelverk som LOU att följa när det gäller den här typen av frågor.

Ett mer grundläggande problem är hur man egentligen ska prissätta konsulttjänster. Fortfarande är den vanliga linjen att man använder timpris vilket är förståeligt men ofta vilseledande. För en duktig konsult kan naturligtvis leverera mycket mer kvalitet på kortare tid än en mer orutinerad. Ur kundens synvinkel får man alltså mer kvalitet till lägre pris om man väljer en dyrare konsult (under förutsättning att den dyrare konsulten verkligen är bättre). Det rimliga vore att sätta priset utifrån nyttan som levereras till kunden oavsett hur lång tid det tar att utföra uppdraget. Nu är det ofta så att upphandlingar görs av ett visst antal timmar vilket om det kombineras med alltför stor betoning av timpriset leder till att kunden får en sämre konsult till ett högre sammanlagt pris.  Jag menar också att det fordras en ansenlig mängd icke-fakturerbar tid för att utveckla sin kompetens och hålla sig uppdaterad vilket påverkar det som blir timpris ut.  För en medveten kund bör detta vara en aspekt värd att noggrant analysera innan upphandlingsunderlag skickas ut.

Kunder väljer ofta att upphandla x antal timmar eller ett fastprisuppdrag för att få kontroll och inte en löpande räkning utan slut. Själv brukar jag istället föreslå att kunden köper en timbank med fritt avrop. Då ligger makten hos kunden som inte behöver avropa fler timmar än man faktiskt använder och dessutom, om man inte trivs med konsulten, kan kunden på ett smidigt sätt avsluta relationen. Eftersom det ofta är svårt att avgöra hur omfattande uppdraget blir innan man börjar med en mer konkret planering så ger detta kunden en flexibilitet som på ett avgörande sätt kan minska kostnaderna för uppdraget. Jag tycker också det är rimligt att leverantören tar risken i affären eftersom man har kunskapsövertaget och möjligheten att påverka uppdragets utförande.

Det handlar ju också om att ställa krav som går att utvärdera på ett bra sätt vilket ju är något enklare för tekniska prylar än då man ska köpa mänsklig kompetens. Kompetensen är som sagt svår att beskriva vilket leder till att den är även är svår att kontrollera. Med beaktande att kunden ofta inte har möjlighet att göra en riktigt rättvis bedömning så tycker jag ändå att det finns vissa krav som kan leda till en bättre uppfattning om vad leverantörens erbjudande innebär. Exempelvis skulle jag numera som kund ställa krav på exakt vilka konsulter som är aktuella i anbudet samt efterfråga skriftprov och andra underlag som just dessa konsulter skrivit. Vid referenstagning skulle jag försöka tala med andra än den eller de som konsulten arbetar närmast hos en tidigare uppdragsgivare eftersom jag upplever att det är rätt vanligt att det finns en aningen symbiotisk relation mellan exempelvis informationssäkerhetsansvarig hos kunden och konsulten. Kunden bör också få möjlighet att träffa den tilltänkta konsulten för att skaffa sig en bättre bild av personen och det intryck den ger. Särskilt vikt bör i samtalet läggas vid vilken faktiskt erfarenhet av och förståelse för kundens verksamhet som konsulten har. Utan denna förförståelse kommer kunden att få betala för leverantörens kompetenshöjning då konsulten måste sätta sig in i förutsättningarna för kundens organisation. Men inte ens dessa varianter på krav garanterar på något sätt att man hittar ”rätt” konsult.

Inte bara kunden behöver göra analyser av chansen/risken för att uppdraget avlöper framgångsrikt. Även leverantören har all anledning att försöka klargöra hur redo kundens organisation är för genomförandet av det aktuella uppdraget. Inte så sällan tackar jag nej till uppdrag. Det kan handla om att kunden har satt en alldeles för snäv tidsram för att de organisatoriska åtgärderna ska hinna tas fram, processas, beslutas och genomföras eller att jag inte uppfattar att ledningen verkligen är beredd på vad som kommer att vara nödvändiga förutsättningar.

Om ett avtal sluts uppstår omedelbart ett antal nya frågeställningar. En del av dem uppkommer genom att leverantören och kunden inte har riktigt samma intressen. Många leverantörer är starkt inriktade på att genomföra uppdrag på sitt sätt, inte minst därför att det lönar sig bättre att ”ta från hyllan” än att utveckla saker tillsammans med kunden (såvida man inte har uppdrag på löpande räkning). Att vara alltför lyhörd och explorativ kan äventyra vinsten i ett fastprisuppdrag med definierad leverans men även uppdrag med begränsat antal timmar. Juniora konsulter är också av naturliga skäl rädda att släppa sargen och överge mallar som tagits fram av arbetsgivaren.

För en konsult är det också en svår balansgång mellan att göra för mycket alternativt för litet. Det är ofta svårt frestande att ta över alltmer av informationssäkerhetsarbetet, alldeles särskilt om förväntan finns på att man ska vara Mary Poppinslikt allfixande. Det är praktiskt för konsulten eftersom man då kan genomföra arbetet på sitt sätt vilket gör att man har kontroll och det på ett sätt går snabbare. För kunden kan det dock bli en nackdel om konsulten blir alltför dominerande eftersom man då riskerar få en leverans som inte är avpassad för verksamheten och att behovet av att bygga upp egen kompetens försummas. Om detta finns mycket mer att skriva men eftersom det är sommar och sol får det vänta till ett senare tillfälle.

Jag tror att vi måste bli mycket mer öppna om att det är svårt både att vara kund och att vara leverantör när det kommer till att upphandla konsulttjänster. En förbättrad dialog i de enskilda uppdragen där konsulten är följsam och öppen inför hur kunden uppfattar leveransen höjer kvaliteten inte bara i uppdraget utan kan bidra till en långsiktig utveckling av branschen.  Ja, det verkar självklart men vid ett stort antal tillfällen har jag träffat på kunder som varit missnöjda med tidigare konsult men inte tyckt sig kunna nå fram utan istället valt att så snabbt som möjligt avsluta uppdraget.

Vi måste också ha diskussioner generellt om hur man får till en bra upphandling där kund och leverantör har samförstånd om vad och hur uppdraget ska levereras och med vilken kompetens. Kanske kan informella men allmänt accepterade paketeringar av olika typer uppdrag tas fram. Detta försvåras dock av att det inte finns någon sammanhållande branschorganisation. En flink människa skulle ju också kunna ta fram en ratingsida där olika konsultinsatser betygssätt ungefär som ett restaurangbesök – det vore nog smärtsamt men nyttigt för många av oss.

 

Förstatliga eller inte förstatliga – det är frågan

1910 blev Karlstads lasarett det andra i Sverige som blev s.k. delat lasarett (efter Falun). Att ett lasarett blev delat betydde att det fanns både en medicinsk och en kirurgisk verksamhet. I korthet var detta första steget på den snabba utveckling pådriven av en framgångsrik forskning där ögon, öron, ortopedi, röntgen, BB, barn, gynekologi o.s.v, o.s.v. , blev egna specialiteter och subspecialiteter i ett allt finmaskigare nät. Till detta kommer allmänmedicin och annan öppenvårdsverksamhet för att inte glömma psykiatrin i olika former. Alla dessa med tiden hundratals olika kompetensområden måste organiseras i avdelningar, kliniker, mottagningar m.m. för att få bästa möjliga vård för patienten till en för samhället rimlig kostnad.

Det räcker dock inte med att organisera vårdens olika verksamhet i förhållande till varandra utan vården måste styckevis och delt även passas in i samhällets generella styrning som i sin tur består av förvaltning respektive den politiska styrningen.  För Sveriges del har det i huvudsak inneburit inpassning i kommun, landsting/region och stat eftersom vården varit offentligt finansierad (även detta i huvudsak) sedan lång tid tillbaka. Historiskt har vårdverksamheten i delar vandrat mellan huvudmännen. Att allmänmedicin och psykiatri var ett statligt ansvar fram till 1960-talet och äldrevård en landstingsangelägenhet fram till ÄDEL-reformen då den överfördes till primärkommunerna är bara två exempel.

Vad jag vill säga med denna skamligt korta sammanfattning är att sjukvård är EXTREMT svårt att styra med en fullständigt oöverblickbar komplexitet i tre dimensioner: den interna styrningen av vårdarbetet och förvaltningsstyrningen samt den politiska styrningen. Fram till 1970-talet var inriktningen för att hantera denna komplexitet bland annat att försöka skapa mer enhetliga huvudmannaskap vilket var en av orsakerna till att exempelvis allmänmedicin och psykiatri överfördes till landstingen från staten. Denna trend avlöstes av den glada NPM-eran när styrningen av offentlig verksamhet fragmentiserades bland annat för att underlätta för privata alternativ. Det var då äldreomsorgen och den social omsorgen fördes till den kommunala sektorn vilket bland annat har lett till bollandet av gamla multisjuka mellan två huvudmän  – något vi sett de avskräckande konsekvenserna av nu efter covid-19.

Det är ett ganska väl beforskat hur organisatorisk komplexitet leder till det som slarvigt brukar kallas byråkrati men som jag hellre skulle benämna administration som inte är direkt kopplad till kärnverksamhetens uppgifter. Ju större antal aktörer som ska förmås att röra sig i samma riktning eller åtminstone samspela, desto fler samordnade aktiviteter krävs för att hålla ihop helheten. Det blir strategier, policies, planer, möten, kontroller och rapporteringar i olika riktningar. Genom privatiseringen av offentlig verksamhet har dessutom ytterligare behov av upphandlingar, kravställningar, regelverk, beställningar och uppföljningar tillkommit. Detta skapar kohorter av  nya typer av administratörer, alltså inte den gamla typen som skötte budget, bokföring och löneutbetalningar. Istället har kvalitetsutvecklare, upphandlingsspecialister, digitaliseringsstrateger, e-hälsosamordnare och (visst, jag kackar i eget bo) informationssäkerhetsansvariga tillkommit. Och så naturligtvis kommunikatörer, kommunikatörer och åter kommunikatörer. Utan jämförelser i övrigt kommer jag osökt att tänka på den här gamla klassiska bilden där jag föreställer mig vårdpersonalen dignar under hela lasset av administration upp till sjukvårdspolitiker och vårdbolagschefer.

Det är med detta i bakhuvudet jag läser ledaren i DN som drar en lans för förstatligande av sjukvården. För mig framstår det som ett relevant förslag. 1962 gav de flesta landsting ut historiker över sina första hundra år. Dessa historiker rymmer en fascinerande motsättning mellan beständighet och föränderlighet. Landstingen hade funnits i respektingivande hundra år men vad ett landsting var och skulle syssla med hade ständigt förändrats under dessa är.

Vad detta lär oss är att hur samhällets basala funktioner ska organiseras ständigt måste omprövas för att institutionerna ska vara ändamålsenliga och anpassade till rådande behov. Historiskt har detta skett kontinuerligt som jag snabbskissat ovan och det finns ingen anledning att tro att just den organisation av sjukvården har idag är den enda möjliga oavsett vad som händer i samhället i övrigt.  Själv hyser jag inte någon ohejdad tilltro till att ett förstatligande av sjukvården skulle lösa alla eller ens merparten av problem som vården har att leva med men i all enkelhet skulle åtminstone ett lager i pyramiden försvinna. Förhoppningsvis skulle grundläggande mål som likvärdig vård vara enklare att uppnå. En annan effekt är att den samordnade byråkratin internt mellan de idag 21 regioner skulle kunna plockas bort (även om den säkert delvis skulle komma tillbaka i en annan form).

Att inte bara DN utan även andra med viss energi börjar ifrågasätta regionernas roll väcker oro i regionsleden, inte minst hos särintressets främsta företrädare SKR vars ordförande Anders Knape som skrev ett kanske aningen sentimentalt svar på DN:s ledare. Han, liksom regionala företrädare, lobbar ivrigt för att regionernas USP är den politiska styrningen av regionerna som hypotetiskt skulle göra  sjukvården regionalt anpassad och därmed ”bättre”. Med viss bombasm skriver Knape:

Folkviljan utövas genom den lokala och regionala nivåns omkring 40.000 förtroendevalda utifrån kunskap om invånarna lokalt och regionalt. Deras kraft är oslagbar.

För den som något fördjupat sig i landstingens/regionernas historia väcker denna beskrivning antagligen skuggan av ett leende. Inga sjukvårdsstrider har varit så infekterade som de inom enskilda landsting där sedan åtminstone 1920-talet omfattande manifestationer skett för att sjukstugor skulle placeras i ”rätt” samhälle eller rörande nedläggningar av sjukhus. Knapes uttalande pekar snarare på en klassisk problemställning inom svensk sjukvård: den potentiella motsättningen mellan regional särart å ena sidan och likvärdighet nationellt å andra.

För mig framstår denna argumentationslinje också som alltmer paradoxal då SKR själva så intensivt försöker samla nationell styrning hos sig själva. Som jag tidigare skrivit om har alltfler frågor börjat samordnas via SKR och därmed flyttats från den regionala nivån till en nationell.

Om SKR starkaste argument mot ett förstatligande är det demokratiska värde som finns i den  regionala politiska styrningen verkar det ju vara att såga av sin egen viktigaste sittgren om makten förs från dessa demokratiska församlingar in i det mörker som föreningen SKR utgör. Själv skulle jag alla dagar i veckan föredra en normal svensk myndighet framför SKR som nationellt samordnande. Ibland dristar jag mig till och med till att tycka att det kanske är en demokratisk fördel om sjukvården lyfts bort från bypolitiken.

Knape har förstås en poäng när han lyfter fram mindre lyckade statliga experiment och då även inom digitaliseringsområdet. Tyvärr måste jag dock säga att det är en boll som är svår att inte smasha tillbaka för den som strävar mot förstatligande av sjukvården. INGEN fråga har engagerat SKR så mycket som digitalisering som lösning på all och jag misstänker att man har en gemensam morgonbön i SKR-palatset som går ungefär så här:

Digitalisering, låt ditt namn bli helgat

Låt ditt rike komma.

Låt din vilja ske, på jorden som i molnet.

Ge oss i dag vårt dagliga bröd .

Och glöm våra misslyckade projekt, så som vi glömmer dem själva.

Och för oss inte in i verkligheten, utan fräls oss från ansvar.

Förlåt, det är semester…

Min poäng är att trots den närmast religiösa inställning som SKR har till digitalisering i teorin så ser i praktiken digitaliseringen av den svenska sjukvården som ett härke trots de enorma resurser som tillförts. Jag sitter mycket tungt på mina händer för att inte skriva något om den totala frånvaron av samordning av informationssäkerhet och det provocerande ointresset för integritetsfrågor där SKR knappast agerat som insiktsfull vägledare för sina medlemmar.  Om verkligheten ska användas som betygssättare för regionernas och SKR:s förmåga att skapa en nationellt sammanhållande och långsiktigt fungerande vård så ser det rätt illa ut för Knapes linje.

För att komma vidare vore det önskvärt med en hederlig gammaldags utredning som inte helt styrdes av särintressen inom vården. Personligen lutar jag svagt åt att behovet av nationell samordning av sjukvården bäst hanteras genom ett förstatligande åtminstone av delar av vården. Det kommer visserligen att skapa nya gränslinjer – hur ska exempelvis äldreomsorgen hanteras med större medicinsk kompetens – men jag tror verkligen det är dags att ompröva dagens situation.

Remissvar på arkivutredningen

Lämnade idag följande remissvar angående arkivutredningen.

 

Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.

Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor. Istället har man fastnat i detaljer och frågor av mindre betydelse. Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar. Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.

Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.

Den långsiktiga hanteringen av information

Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden. Detta är kärnan i all arkivverksamhet. När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet. Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas. De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s. för snart ett kvarts sekel sedan.

Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst. Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel. Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.

Den nya informationsinfrastrukturen

Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten. Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur. Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt. Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen. Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen. Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra. Även detta hade varit en central fråga att peka på för utredningen.

Den krympande andelen allmänna handlingar

Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.

Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska. Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen. Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.

Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning. Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.

Information som samhällsresurs

I informationssamhället är av naturliga skäl information den viktigaste resursen. Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag. Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag. Hur svenska myndigheter ska förhålla sig till detta utan att t.ex. äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen. Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.

Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare. Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.

Bristande relation till näraliggande områden

Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering. Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.

En strategi för den svenska arkivverksamheten

Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor. Strategin bör bygga på en utredning som förutsättningslöst går igenom:

  • juridiska,
  • organisatoriska
  • arkivteoretiska,
  • tekniska

möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form. I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.

Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen. Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.

 

Fia Ewald

En gång arkivarie, alltid arkivarie

 

När krisen kommer

Kriser har den fördelen att de oftast tar slut. Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden. Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst. Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i totalen skapar större ohälsa och död än själva viruset.

Däremot når nu MSB:s insatser en sådan nivå att de t.o.m. får vara med i satirinslaget Public Service i P1, en ynnest som är få myndigheter förunnad. Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra inlägg och som nu även tagits upp i Ekot.

MSB har hintat om lanseringen av appen med en  näraliggande men okänd startpunkt. Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast  undflyende svar. Jag kan förstå det. Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst. Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen. Det är ju liksom ingen slump att eSam gjort ett uttalande om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.

Vid sidan om själva enkätappen är MSB:s kommunikation om den lika märklig. Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen. MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation. Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist. En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier. Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid. Detta leder inte till en större tillit i krisen.

Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade. Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex. gällande riskbedömningar. Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas. I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.  Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m. Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.

Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund. Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan. För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas. MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna. Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår. Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande. Har MSB lyckats knäcka den nöten så är det stora nyheter för både offentliga och privata organisationer. Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt)  och då vore det ju  bra om MSB gick ut och beskrev hur det egentligen ser ut.

Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster. Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhällets informationssäkerhetsarbete slarvar med säkerheten. Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför. MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.

MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ. Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser. När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press. Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke. Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.

Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet. Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer. Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet. Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.

Hur kunde jag missa den rapporten om SKL/SKR?

Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) ställning hittar jag plötsligt en rapport från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om! Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?

Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor. Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar. Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.

Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen. I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m. haft en dubbelroll där man kunnat ge sig själv uppdrag. I huvudsak har det handlat om att förmedla statsbidrag som ett otraditionellt styrmedel (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar. Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen. Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.

SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?) använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret. Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla:

Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting. Det har praktiska orsaker. Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 olika landsting.

Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna. Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna. Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen. Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.

Detta har skapat det SKR som vi känner idag:

Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen. Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården. Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om. Att SKL påverkar villkoren för kommuner och landsting är naturligt. I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården (min kursivering).

Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL. Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet. I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll. Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik. Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården. Det är Riksrevisionens  bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen (min kursivering).

SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen. Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän. Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen. Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet. SKL företräder offentliga organ, men är i sig själv inte ett sådant. Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen. SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret. Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet. SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar (min kursivering).

Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen:

I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation. Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting. Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar. Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna. Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik. Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra. Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.

Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin:

Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas. Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”. Databasen förvaltas av SKL men har finansierats av staten.

Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall:

Att databasen hanteras av en intresseorganisation är en ovanlig lösning. Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket. I regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer. Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret (min kursivering) .

I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.

Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna. Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel. Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen (min kursivering). Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan. Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt. Regeringen har uttryckt att antalet överenskommelser ska minska. Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur. Om det nära samarbetet med SKL, i form av t.ex. överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel. Det kan t.ex. handla om att reglera insyn och förvaltning under och efter en satsning. Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna. Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid. Riksrevisionen noterar att medlen till SKL ökar. Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation (min kursivering).

Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig. Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör. Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen (min kursivering).

SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs:

Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården. Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå. Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen. SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex. indikatorer.

Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.

Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård. Dessa medel har bl.a. finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen. Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.

Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.

Utöver detta tillkommer de medel som medlemsorganisationerna tillför. Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har 440 byråkrater anställda och ett kontor i Bryssel i sin kansliorganisation. Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?

Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.

 

Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt:

I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör. I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL. Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen. Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex. kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.

En sammanfattande bedömning från Riksrevisionen är:

Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Riksrevisionen noterar att medlen till SKL ökar. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.

Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att

regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.

Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet. De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används. Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex. inte OSL gäller för en intresseförening. I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas. Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.

Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Hittills har jag trots en vänlig påminnelse inte fått något svar.

Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär. Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats. Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.

Tillägg 2020-02-20: För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk här.