Några ytterligare ord om 1177

Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle. Den inleddes med inlägg där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.

På inlägget följde två svar. Det första kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet. I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”. Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation. Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse. Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare. Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll. Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder. Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen)  leder till ett demokratiskt underskott som borde bekymra fler än mig.

För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt debattsvar. Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram. Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga. Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge. Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits. Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella strategin för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden. Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex. i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.

SKL menar att jag bara gnäller utan konstruktiva lösningar. Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v. men att vara konstruktiv innebär inte att man bortser från problemen. Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande rant ger intrycket av. Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar. Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll. Min enda önska är att informationssäkerheten tas på samma allvar som säkerheten i andra aspekter. Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.

Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm svarade och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig. Jag håller inte med. Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete. Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet. Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer. Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete. Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas. Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.

1177 igen

Jag har tagit del av den granskningsrapport som KPMG genomfört på uppdrag av Region Stockholm efter 1177-skandalen och som av en händelse (?) publicerades dagen för midsommarafton. Rapportens omfång motsvarar på intet sätt skandalens omfång utan är ett luftigt dokument på 14 sidor inklusive bilagor.

Att rapporten är tunn räknat i sidor behöver naturligtvis inte påverka skärpan i analysen men som rätt luttrad granskare av informationssäkerhet känns de 14 sidorna som rätt kraftigt i obalans med uppdragets genomförande och omfattning:

Granskningen har omfattat en kombination av IT-revision, inhämtning av information från tillgänglig dokumentation av karaktären styr- och stöddokument, uppföljningsrapporter samt intervjuer med nyckelpersoner. Granskningen har utgått från vedertagna granskningsmetoder inom området informationssäkerhet, vilket omfattat såväl Vårdgivaren och dennes underleverantörer som Region Stockholm genom HSF. En lista över de personer som intervjuats återfinns i bilaga 2. Granskningen har genomförts under maj-juni 2019.

Vidare är rapportens utformning i avvikelseformat där endast väsentliga iakttagelser har lyfts fram med förslag på förbättringsåtgärder, inklusive eventuella behov att förtydliga avtal, uppföljningsrutiner och processer för att minimera att motsvarande inträffar igen.

Att på så få sidor beskriva Region Stockholms, Medhelps och ett antal underleverantörers styrning av sin informationssäkerhet, vad som gått fel och vad som bör göras för att undvika att systemfel som det inträffade upprepas känns inte riktigt seriöst. Den sammanfattande bedömningen är dock på allvar oroande:

Vår övergripande bedömning är att HSF bör se över kravställningen på informationssäkerheten i samband med upphandlingar samt att uppföljningsprocessen behöver struktureras och formaliseras för icke funktionella krav, däribland informationssäkerhet. I allt väsentligt behöver kravställningen preciseras för att säkerställa att leverantörerna är införstådda i HSF:s förväntningar, men även för att öka den interna förståelsen för hur kraven ska följas upp. Att avtalskraven beträffande informationssäkerhet är allmänt hållna, samtidigt som standarden inom området inte är fullt integrerad i HSF:s verksamhet, innebär i praktiken att Vårdgivarens hantering av informationssäkerhet endast har följts upp i begränsad omfattning.

Vad gäller Vårdgivaren kan vi konstatera att det inte finns något dokumenterat ledningssystem för informationssäkerhet samt att det förekommit brister i rutinen för utvärdering och uppföljning av underleverantörer till vårdtjänsten. Vi noterar dock att Vårdgivaren, sedan incidenten, arbetar med en åtgärdsplan för att förbättra informationssäkerheten, rutiner beträffande kontroll av leverantörer samt planerar för en certifiering inom ISO 27001.

Vi noterar att de akuta bristerna hänförliga till incidenten har hanterats, bland annat genom den skyndsamma nedstängningen av den felkonfigurerade servern, uppsägningen av avtalet med underleverantören som givit upphov till incidenten samt inhämtandet av all patientinformation till Vårdgivarens egen tekniska lösning. Vi har dock identifierat ett antal framåtblickande förbättringsområden som rör HSF:s övergripande arbetssätt beträffande informationssäkerhet, fördelningen av roller och ansvar samt metoden för hantering och uppföljning av leverantörer. Vidare har vi även identifierat åtgärder hänförliga till Vårdgivarens arbete med informationssäkerhet och den planerade ISO-certifieringen samt sättet till vilket Vårdgivaren arbetar med att vidareförmedla HSF:s avtalskrav beträffande informationssäkerhet.

HSF är alltså Hälso- och sjukvårdsförvaltningen i Region Stockholm och vårdgivaren Medhelp. Att Region Stockholm inte lyckas formulera tydliga säkerhetskrav i upphandlingar i en så central tjänst som 1177 är i sig skandalöst. Att sedan Medhelp som vårdgivare helt saknar ledningssystem för informationssäkerhet och att Region Stockholm inte ens ställt krav på en så grundläggande nivå är information som bekräftar min bild att den svenska sjukvården fortfarande ignorerar behovet av informationssäkerhet.

1177-skandalen var trots allt bara en sten som vändes, om än stor. Det som verkligen oroar är de brister i Region Stockholm säkerhetsarbete som avslöjas indirekt i rapporten. Dessa brister gör det mycket sannolikt att 1177 bara är en del i större systemfel där patienters hälsa och integritet är i en ständig riskzon om rapportens uppgifter stämmer. Ta till exempel följande iakttagelse från granskarna:

HSF saknar ett fullständigt ledningssystem för informationssäkerhet (LIS). Enligt den regionsövergripande informationssäkerhetspolicyn ska varje nämnd införa ett lokalt ledningssystem för informationssäkerhet. I förekommande fall har HSF tagit fram lokala styrande dokument för informationssäkerhet, men dessa återspeglar i allt väsentligt de styrdokument som finns på regional nivå. Graden av verksamhetsanpassning är relativt låg och förvaltningen har inte tagit fram några instruktioner eller utvecklat processer för hanteringen av informationssäkerhet. Vi noterar att instruktioner håller på att arbetas fram, men dessa berör hanteringen av portabel IT-utrustning och syftar således inte till att tydliggöra riktlinjerna för hur förvaltningen ska arbeta med informationssäkerhet.

Region Stockholm har alltså inte tagit fram säkerhetsregler för avpassade för sjukvården utan i huvudsak nöjt sig med de generella för regionen (trots att det funnits en föreskrift att så ska göras sedan 2008 SOSFS 2008:14) och att man inte heller är på väg att göra det för mer än för bärbar utrustning. Jag tror redan den som rent tillfälligt jobbat med informationssäkerhet i vården förstår hur mycket arbete och eftertanke som krävs för att anpassa generella regler så att de fungerar i vården, t.ex. bara att ge en uttolkning av ansvasförhållandena för informationshanteringen är en mycket komplex fråga.

Situationen i Region Stockholm gäller även hos Medhelp som inte heller har förmåga att ställa relevanta krav på sina underleverantörer:

Processer och rutiner ska finnas för att säkerställa uppfyllandet av Socialstyrelsens krav på informationssäkerhet. Vårdgivaren har inget dokumenterat LIS och det är vår bedömning att vissa processer saknas för att kunna försäkra att kraven uppfylls. Vi noterar exempelvis att Vårdgivaren, i enlighet med vedertagna standarder och god praxis, inte har ställt ändamålsenliga krav på samt följt upp leverantörers hantering av informationssäkerhet. Vidare anger Socialstyrelsen att vårdgivare ska ha en informationssäkerhetspolicy som anger mål och inriktning på verksamhetens arbete med informationssäkerhet. Vi har identifierat att Vårdgivaren har antagit en informationssäkerhetspolicy i maj 2019. Vi noterar i sammanhanget att Vårdgivaren planerar för en certifiering inom ISO 27001 till kvartal 2, 2020 samt har ett ledningssystem för GDPR.

Den här råttan-på-repet situationen illustrerar väl varför startpunkten för att förbättra säkerheten i vården på måste ligga på sjukvårdshuvudmännen eftersom det är huvudmännen som utformar förutsättningarna för de övriga aktörerna. Tyvärr har ju lagstiftning och föreskrifter i huvudsak varit inriktade på vårdgivarna vilka i praktiken numera har svårt att ens den egna informationssäkerheten eftersom informationen hanteras i gemensamma lösningar. Det är därför extra nedslående när sjukvårdshuvudmännen väljer att inte driva frågan ens i den egna verksamheten och inte heller att respektera de föreskrifter som finns. Framför allt är det en fråga där det inte skulle behövas en föreskrift för att få de styrande i Sveriges största sjukvårdshuvudman att inse behovet av att styra informationshanteringen så att patienterna kan lita på att få god och säker vård. I den kommentar som regionens ansvariga för vård ger upprepar man att man ska införa ett systematiskt informationssäkerhetsarbete men fokuserar i åtgärderna huvudsakligen på underleverantörerna.  Men att styra underleverantörerna utan ett eget fungerande regelverk är ett moment 22 som även granskarna noterar:

HSF ställer inte tillräckligt tydliga krav på sina privata vårdgivare vad gäller deras informationssäkerhet. Kravställningen på informationssäkerhet sker genom tillämpningen av en standardbilaga, vilken anger att leverantörer/vårdgivare ska följa regionövergripande styrande dokument för informationssäkerhet. Vi noterar att de styrande dokumenten, i sin tur, anger att informationssäkerheten hos de som arbetar på uppdrag av Region Stockholm ska regleras genom avtal. Vår bedömning är att dessa hänvisningar kan ge upphov till skiljande uppfattningar gällande kravbilden på informationssäkerheten. Med hänsyn till att Socialstyrelsen anger som krav att vissa kontrollmål ska uppfyllas beträffande informationssäkerheten, företrädesvis med stöd av ett LIS enligt standarder i ISO 27000-serien, är det även vår bedömning att HSF:s tillkommande avtalskrav endast ger en begränsad effekt vad gäller att tydliggöra förväntningarna på de privata vårdgivarna.

Jag ska inte tjata mer om hur uppseendeväckande det är att Region Stockholm trots föreskrifter, alla incidenter och trots alla granskningar genom åren ändå inte prioriterar att införa ens ett regelverk för vården att utgå ifrån. Det gör att man vare sig kan ha ett internt systematiskt informationssäkerhetsarbete eller ställa relevanta krav på underleverantörer, det senare framgår på ett nästan tragikomiskt sätt i relationen med Medhelp.

Informationssäkerheten i vården är ingen ny fråga utan har varit uppmärksammad sedan åtminstone första hälften av nittiotalet. Den stora frågan är varför Region Stockholm (och övriga sjukvårdshuvudmän) år efter år undviker att komma till rätta med bristerna. Varför tycker man att det är rimligt att utsätta verksamheten och patienterna för de stora risker som den bristande säkerheten leder till samtidigt som man är beredd att investera ofattbara resurser i experiment som NKS? Och nej, det går inte att säga att 1177 var ett undantag från en i övrigt fungerande situation. KPMG:s rapport är den senaste i en rad av rapporter som visar att den bristande säkerheten är ett systemfel som genomsyrar hela den svenska vården – har man inte styrning av informationssäkerheten så finns den inte mer än fläckvis och utan möjlighet att reducera riskerna.

En relaterad fråga är om NIS-direktivet kommer att ha någon positiv inverkan över huvud taget eller om även denna styrning mot ett systematiskt informationssäkerhetsarbete kommer att ignoreras. Om läsaren tycker att jag ger en alltför mörk bild av Region Stockholms informationssäkerhet rekommenderar jag att ni läser KPMG:s knapphändiga rapport som ändå ger en antydan om regionens förmåga rörande informationssäkerhet.

Tillägg 2019-06-24: Lägger ut rapporten som pdf här:

Granskningsrapport_Informationssäkerhet_190620

Nya Karolinska blev en guldgruva för alla utom patienterna (och skattebetalarna)

Även för den som är relativt insatt i svensk hälso- och sjukvård och dessutom fortlöpande läst DN:s långa rapportering om alla turer i NKS:s skandalen är ”Kampen om Karolinska. Konsulterna” av journalisterna Anna Gustafsson och Lisa Röstlund en upprörande och i vissa stycken hjärtslitande läsning. Sammanställningen av en lång rad av medvetna beslut av den politiska majoriteten under ett antal år som lett till en alltmer katastrofal situation är skakande och i förstone närmast obegriplig. Att denna politiska revolution av den stockholmska sjukvården kunnat genomföras trots att den kantats av ekonomiska haverier i en hittills okänd skala, personal som flyr eller är helt uppgivna samt i sin yttersta konsekvens patienter som faktiskt dör på grund av omorganisationen.

Boken ger en mycket grundlig och researchad beskrivning av förloppet, dessutom välskriven. Jag kommer inte här att gå in på djupet i boken utan rekommenderar den som sommarläsning för alla. Som konsult kan jag särskilt uppmuntra andra konsulter läsning och därefter visst begrundade av vilken skada man kan göra om man som konsult driver sin egen agenda i kundens organisation. Det är inte en särskilt hårfin skillnad mellan att ha integritet och att driva sina egna intressen hos kunden.

Efter att ha arbetat i offentlig sektor är det vissa drag i historien obehagligt välbekanta som övertron på att gigantiska omorganisationer löser problem och managementkonsulter som löper amok och kör över alla som har någon slags kompetens, d.v.s. personalen. Den tystnadskultur som drivits fram vid NKS där enbart lovprisning av den värdebaserade vården tolererats är inte heller den ett unikt fenomen utan en sjuka som enligt min uppfattning äter sig allt djupare in i den offentliga sektorn generellt. Det till synes oreflekterade upphöjandet av nya organisationsteorier som frälsningslära är inte heller unikt för NKS med sin värdebaserade vård. Själv har jag varit med om allt från LOTS till Lean via lärande organisation, det sistnämnda något ironiskt eftersom varken landstingspolitiker eller myndighetschefer verkar lära sig något av de misslyckade organisationsexperimenten – snabbt är man på nästa modeteori. Själv har jag mycket liten tilltro till att omorganisationer löser större problem, och för detta finns det heller föga stöd i forskningen. Men för den ledare som vill sätta sitt märke på kommunen, regionen eller myndigheten kan en stor omorganisation vara det som skapar synlighet och inge en känsla av handlingskraft.

Region Stockholm har dock tagit vissa fenomen till en ny nivå. Varför den borgerliga majoriteten med m och kd i spetsen valde en ekonomisk driftform (OPS) som blivit många gånger dyrare än att bygga och drifta det nya sjukhuset i egen regi saknar fortfarande rimliga svar förutom att de drevs av en nyliberal överideologi. För den intresserade som vill djupdyka i denna del finns SvD-journalisterna Henrik Ennart och Fredrik Mellgrens bok ”Sjukt hus: om Nya Karolinska – svindlerierna, skandalerna och sjukvårdskrisen i Stockholm”, också den mycket läsvärd. Stockholmare kommer att dras med effekterna av denna mycket dåliga affär i decennier framåt. Att man dessutom låtit konsulter från BCG skicka in juniora konsulter, fakturera vilt samt anställa sina gamla kollegor är även det ganska många snäpp mer än vad som brukar förekomma. Lägg därtill alla turer där anställda på KI även driver företag tillsammans med amerikanska intressen och försöker påverka utvecklingen av den stockholmska sjukvården så det gynnar de egna företagen snarare än patienterna och vi har en soppa som inte skådats i Sverige i modern tid. Särskilt oroande blir detta med tanke på att hälso- och sjukvård är en av de sektorer som är mest utsatta för korruption vilket det finns ett aktuellt Konflikt om här.Det tål att påminnas om den gamla sanningen att Sverige löper en stor risk för korruption eftersom vår självbild är att vårt samhälle är immunt mot korruption.

För mig har det dock varit av särskilt intresse att ta några steg tillbaka och sätta den värdebaserade vården och den informationshantering som följt med den i ett större historiskt och politiskt perspektiv. Jag pratar då inte om de ”normala” it-haveriförloppen inom den svenska sjukvården och framför allt Region Stockholm där först politiker går ut med löften om fantastiska nya it-lösningar som sedan kraschlandar . Därefter glöm, få andra att glömma och upprepa. Nu pratar vi om en informationshantering med risker på en hel annan nivå och inbyggda i själva styrningen av sjukvården.

Den värdebaserade vårdens ledande företrädare Michael Porter (forskare i management och strategi, inte medicin) brukar enligt författarna av Konsulterna sammanfatta sin teori i ekvationen vårdresultat/kostnad=värde. Resultatet mäts i hög grad utifrån patientens upplevelse, inte ett faktiskt mätbart resultat vilket känns fascinerande paradoxalt eftersom modellen i övrigt bygger på att mäta, mäta och åter mäta. Observera att jag inte på något sätt ifrågasätta patientens rätt att känna sig nöjd med och delaktighet i sin vård utan invändningen ligger i att det finns få så luriga mått som upplevd nöjdhet samt att detta är ett mått är skräddarsytt för en konkurrensstyrd kommersiell verksamhet. Redan här kan man se hur valet av vårdmodell klickar i den ideologiska revolutionen av den stockholmska sjukvården.

Den värdebaserade vården satt i system förutsätter en gigantisk datainsamling för att verkligen kunna bedöma vilken aktör som vid varje tillfälle lyckas lösa Porters ekvation bäst. Förutom att i sig skapar det NPM-inferno som även känns igen från den svenska skolan med överdokumentation och rapportering med efterföljande stress är detta en modell som illa överensstämmer med en offentligt finansierad vård. Istället för att ta det ansvar som krävs för bland annat multisjuka äldre maximeras istället vinsten i modellen för de vårdgivare som avverkar enskilda vårdepisoder snabbast. Som så ofta i den moderna vårdens historia har frälsare av Porters typ fått dominera och hävda att sjukvård kan ses på precis samma sätt som bilfabriker. Och varje gång havererar de löpande bandsprinciperna utom i vissa specifika operationstyper eftersom människor envisas med att ha kroppar och sinnen som är så mycket mer unika och komplexa än nyproducerade bilar.

Skandalen på NKS gör dock att jag (och förhoppningsvis andra) får upp ögonen för hur det ekonomiska skede vi lever i fungerar. Sedan åtminstone 70-talet har vi vetat att vi lever i ett informationssamhälle men vad betyder egentligen det? Inte bara att vi får en massa nya coola prylar och kan kommunicera via the world wide ( wild)  webb utan att vi faktiskt gått in i en ekonomi som har information som sin huvudsakliga råvara. Den amerikanska professorn i social psykologi Shoshana Zuboff har i sin mycket omskriva The Age of Surveillance Capitalism beskrivit framväxten av hur det ekonomiska systemet byggt på information som råvara fungerar. Ofta tolkas hennes teorier endast i förhållande till Google, Facebook och liknande plattformar som här . Att se Zuboffs bok snävt som en beskrivning av hur Google och Facebook fungerar är fel menar jag. Bland annat den globala hälso- och sjukvårdsmarknaden fungerar idag enligt samma grundprinciper. I fallet med NKS, BCG och den värdebaserade vården blir det uppenbart hur ekonomiska intressen utanför NKS, Region Stockholm och Sverige ser den svenska sjukvården som en naturresurs att utvinna.

Zuboff är inte ensam i sitt uppsåt att skildra den digitala ekonomins framväxt men hon gör det på ett sammanfattande och övertygande sätt (och med en titel som för tankarna till favoriten bland författare till breda historiska exposéer Hobsbawm). Mycket grovt förenklat kan Zuboffs skildring av övervakningskapitalismens era ses som ett skede där teknisk innovation korrelerar med framför allt två huvudsakliga faktorer: att det från 70-talet växer fram en nyliberal hegemoni i västvärlden och efter 11 september 2001 ett samhällsklimat som präglas av en allt starkare befogad eller obefogad känsla av otrygghet. Nyliberalismens huvudkonflikt kan, även detta starkt förenklat, ses som en maktkamp mellan statlig/samhällelig reglering och de fria marknadskrafterna. Under de senare decennierna av förra århundradet och de två i vårt nuvarande har en systemförändrande avreglering skett och ersatts av metoder som compliance och standarder där marknaden påstår sig kunna reglera sig själv. Kombinerad med den konsekventa nedmonteringen av rätten till integritet som motiverats av att kunna förhindra terrorism och andra brott har kapat både samhällets och individens förmåga att på ett effektivt sätt skydda sig, eller ens vilja skydda sig, mot att personlig information utan insyn och kontroll används som råvara. När informationen blivit råvara förflyttas äganderätten av uppgifterna från individen till det företag som kan hävda sig ha ”förädlat” den (här finns en intressant koppling till Nozick som jag inte hinner utveckla närmare men låt mig ändå säga att jag ser Nozick som själva gudfadern till berättigandet av utvecklingen).  Eller som Zuboff beskriver det i fallet Google:

That Google had the power to choose secrecy is itself testament to the success of its own claims. This power is a crucial illustration of the difference between “decision rights”and “privacy.” Decision rights confer the power to choose whether to keep something secret or to share it. One can choose the degree of privacy or transparency for each situation. US Supreme Court Justice William O. Douglas articulated this view of privacy in 1967: “Privacy involves the choice of the individual to disclose or to reveal what he believes, what he thinks, what he possesses.

Surveillance capitalism lays claim to these decision rights. The typical complaint is that privacy is eroded, but that is misleading. In the larger societal pattern, privacy is not eroded but redistributed, as decision rights over privacy are claimed for surveillance capital. Instead of people having the rights to decide how and what they will disclose, these rights are concentrated within the domain of surveillance capitalism. Google discovered this necessary element of the new logic of accumulation: it must assert the rights to take the information upon which its success depends.

I denna historiska korsväg utvecklar först Google och därefter bl.a. Facebook sina tjänster. I lika hög grad som att erbjuda användarna möjlighet att utbyta information sinsemellan börjar företagen exponentiellt samla allt mer information om användarnas beteende. I förstone motiveras detta med att det ska ge underlag för att ge användarna allt bättre tjänster för att sedan allt mer tydligt ge stöd för riktad marknadsföring. Med den fullständigt enorma informationsbas av överskottsinformation som Google byggde upp kunde de göra så annonsörerna kunde få stor träffsäkerhet i sin annonsering. Steget efter att ge sökvägar till annonsörerna var det som Zuboff menar är det verkligt revolutionerande: ett överskott av information rörande användarnas beteende som med algoritmernas hjälp går att förutse användarnas behov:

Instead, we are the objects from which raw materials are extracted and expropriated for Google’s prediction factories. Predictions about our behavior are Google’s products, and they are sold to its actual customers but not to us. We are the means to others’ ends.

Förutsägelserna berör inte bara den enskilda användarna utan, viktigare, på gruppnivå. Ett positivt exempel är när det genom användares sökningar på Internet går att förutse influensaepidemier. Obehagligare när en kvinna börjar få annonser om mammakläder i sitt flöde redan innan hon själv vet att hon är gravid…

Den verkliga vinsten i att inte bara veta hur folk/kunder beter sig när de får hålla på som de vill utan när tjänsteleverantörerna påverkar kunderna att agera på ett sätt som gynnar leverantören utan att ens fatta det. Tjänste- och plattformsleverantörer har, som Zuboff visar, ända sedan början haft ett gemensamt intresse och samarbete med statliga myndigheter i USA och annorstädes vilket inte gör osynliga men obetvingliga styrningen mycket skrämmande. Den generellt positiva syn som många säkerhetsmänniskor har till övervakning blir satt i detta sammanhang oroande naiv.

Marknadspotentialen i att ha tillgång till oceaner av information om beteenden är omätbar inte bara i första läget för det egna företaget utan framför allt som en förpackad kommoditet som kan säljas vidare. Sätt då detta i korrelation med en bransch som omsätter mellan 10 och 20 % av BNP i västvärldens länder, är i snabb global tillväxt och dessutom samlar in och bearbetar känslig personlig information om alla invånare. Landskapet som NKS och den värdebaserade vården sätts i kan liknas vid det El dorado som conquistadorerna drömde om, med skillnaden att Sverige verkligen finns och har kvalitetsregister och patientjournaler för hela befolkningen. Det vill säga ett verkligt El dorado för inte bara vård- och läkemedelsföretag utan även försäkringsbranschen. Cyberrymden är en ny jättekontinent som exploatörerna vill hålla så fri från reglering som möjligt. De fantastiska marknadsmöjligheter som ligger i att kunna prognosticera patienter och försäkringstagarnas utveckling är oöverblickbara. Denna sanning uttrycks explicit i ett citat av en högt uppsatt tjänsteman på Karolinska som inleder avsnittet som är mycket lämpligt benämnt ”Guldet” i DN-journalisternas bok:

Det är en sak som BCG och bolagen de jobbar med främst vill åt. Det är patientdata som är deras bitcoins. Däri ligger den stora affären i värdebaserad vård.

Vi måste lära oss att leva med att Sverige med sin långtgående nyliberalism i kombination med de kvalitetsregister som på frivillig basis byggts upp under mycket lång tid tillsammans alla övriga patientdata kommer att ha ofattbar dragningskraft på internationella företag. Det gäller på samma sätt för all annan information inklusive personuppgifter som sammanställs av svenska myndigheter. Det viktiga är att detta hanteras på ett öppet sätt där inte bara företagen blir nöjda utan att även kärnverksamheten och dess avnämare som patienter och medborgare. När man ser mekanismerna som varit i kraft vid NKS kan jag inte låta bli att undra över exempelvis satsningen på Hälsa för mig .  När satsningen presenterades av Göran Hägglund (numera tryggt förankrad i privata vårdföretag) framställdes som en särskild USP att app-leverantörer och andra entreprenörer skulle kunna bygga tjänster på de datamängder som insamlades. Vad var egentligen hönan och vad var ägget i Hälsa för mig?

Den medvetna sammanblandning av offentliga och privata intressen som Zuboff beskriver när det gäller Google:

Fortifications have been erected in four key arenas to protect Google, and eventually other surveillance capitalists, from political interference and critique: (1) the demonstration of Google’s unique capabilities as a source of competitive advantage in electoral politics; (2) a deliberate blurring of public and private interests through relationships and aggressive lobbying activities; (3) a revolving door of personnel who migrated between Google and the Obama administration, united by elective affinities during Google’s crucial growth years of 2009–2016; and (4) Google’s intentional campaign of influence over academic work and the larger cultural conversation so vital to policy formation, public opinion, and political perception. The results of these four arenas of defense contribute to an understanding of how surveillance capitalism’s facts came to stand and why they continue to thrive.

kan ses i full careta när det gäller även härvan på NKS och den värdebaserade vården. Lobbyismen, parasiterandet på akademin och de vilseledande budskapen om vem som gynnades.

Utan att ta partipolitisk ställning tycks för närvarande samhällets förmåga att hantera en skandal som den vid NKS undermålig. Inget ansvarsutkrävande av de verkligt ansvariga, d.v.s. de politiker som fattat samtliga beslut både när det gäller byggnation, värdebaserad vård, konsultanvändande och it-system, har skett. Fristående och seriös journalistik förefaller vara det enda sättet för att skapa den insyn och kontroll som de offentliga institutionerna inte är intresserade av att själva bygga upp vilket i sig är en dyster insikt. I detta sammanhang är en stilla önskan att hela e-hälsoområdet kommer att locka till sig lika envetna, seriösa och välskrivande journalister som de som nu skrivit ”Konsulterna”.  Ett helt ofarligt löfte att ge är att det finns lika mycket att gräva fram om e-hälsa som om NKS!

Det är lätt att hamna i en politisk depression när man funderar över hur digitaliseringens starka krafter ska kunna tyglas för att dra åt ett håll som gynnar hela samhället och så att individen har en basal möjlighet att upprätthålla sin integritet. Att krafterna som motverkar integritet är mycket kraftfulla är uppenbart och argumentationen från de kommersiella aktörerna mot integritet som hindrar affären dominerar även i ett stort antal myndighetsutredningar har jag länge observerat. Den sittande majoriteten i Region Stockholm gjorde det till och med till ett vallöfte att göra stockholmarnas patientdata tillgängligt för industrin. Trots detta drabbades jag litet av en chock när jag i slutet av ”Konsulterna” får läsa att OECD antagit värdebaserad vård som strategisk inriktning och kräver att medlemsländerna, däribland Sverige, ska dela patientdata via en jättelik gemensam databas, ”Parisdatabasen” där OECD är ägare till uppgifterna. Detta sker i samarbete med – BCG…  Databasen vars nytta bedöms oklar av Socialstyrelsen och vars syfte inte klart har definierats anses ändå oumbärlig. Särskilt upprörande är att det inte går att avtala vem som ska få tillgång till informationen utan har beskrivits som ”OECD och framtida samarbetspartners”. Ganska långt från dataskyddsförordningens regler är väl ett understatement.  Jag uppmanar alla intresserade att hålla ögonen på detta projekt, särskilt som det verkar som att OECD i aggressiva ordalag kräver in uppgifter trots svenska myndigheters tveksamhet. Landsting och regioner är däremot föga förvånande positiva, en nödvändig levnadsregel är nog: lita aldrig på en region i integritetsfrågor.

Vad kan då göras? Jag menar att vi måste kunna införa ett slags samhälleligt marshmallows-test där vi vågar utreda vår nya situation och skaffa oss nödvändiga redskap för att styra utvecklingen åt ett håll som gynnar flertalet och inte bara viljelöst följa med. Oavsett politisk uppfattning bör vi kunna komma överens om att de intressekonflikter som finns i den digitala utvecklingen måste lyftas fram och diskuteras så att åtminstone invånare i demokratier har möjlighet att ställning till hur de vill ha framtiden. Ett konkret förslag är att tillsätta en etisk kommitté med uppdrag att fortlöpande utvärdera och ta ställning till större initiativ inom digitaliseringsområdet. DIGG kan vara sammankallande och sköta kansliet för kommittén men ett antal mycket fristående och erkänt motspänstiga ledamöter av typen filosofer bör ingå. Otillräckligt men kanske ett första steg på att erkänna att varje mynt har åtminstone två sidor, så även digitaliseringen.

Slutligen måste jag understryka att jag inte ger någon av de nämnda böckerna rättvisa utan uppmanar alla att själva läsa dem och bilda sig en egen uppfattning.

Själv fick jag min nya Fitbit igår…

Tillägg 2019-06-18: Ett visst hopp angående möjligheten att OECD:s planer kan ändå skönjas i och med regeringens beslut att inte delta i uppbyggnaden av databasen.

E-arkiv och e-arkiv

Det är högintressanta tider då vissa frågor ställs på sin spets. I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.

Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin. Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare. Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet. En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven. I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.

Bakgrund

För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.  Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv. Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor:

  • Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år. Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
  • I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat här.
  • En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
  • Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid. För pappersbunden information har man därför ofta skapat mellanarkiv för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
  • Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut. Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner. För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter
  • En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn. I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet. Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s. myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
  • Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
  • I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet. Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation. Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske. Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra. En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne. Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.

Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.

Vad skulle då upphandlas?

Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre. Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter. En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet. I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående. Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring. Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med. Jag är inte förvånad över detta men vill ändå betona detta.

Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.

Statens servicecenter

SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns här). Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien. Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad):

Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering
· Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten. Förutsättningar för fortsatt arbete:
· Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.

Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”. Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.

Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.

Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet):

Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS). Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.

Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.

Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg. Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.

Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster. För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär. När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen. Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.

Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog. För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till en leverantör av en molntjänst, d.v.s. en tjänst där stora mängder offentlig ackumuleras.  Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information. Däremot inte hemliga handlingar:

  • den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar. Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt

  • e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet. Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället

Redan här väcks många frågor. Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta? Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån. Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda. Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden. Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.

I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).  Om detta synsätt sprids, d.v.s. att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen. Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala. Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).

Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan. Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer. Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten. Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.

Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller. Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.

Hunnen så här långt i genomgången av upphandlingen pockar två frågor på. För det första har SSC begränsat antalet möjliga leverantörer mycket starkt. Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor. Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades. Den andra frågan är varför denna upphandlingen sker över huvud taget. Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling. Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna? Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).

Till detta kommer en bilaga med ganska ordinära säkerhetskrav. Några reflektioner kan dock göras. Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns. En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet. Och som sagt: nivåer saknas. Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.

Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör. I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog. Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer. I upphandlingsunderlaget återkommer följande formulering:

Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter. Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.

Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.

SKI

SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.

Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som

I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.

Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift. I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC. SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig. Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.

Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet. Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.

Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).

Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas. Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling. Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling. Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut. Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.

Slutsatser

Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts. Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd. Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC. Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.

I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift. En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer. Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.

Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant. Det handlar om både organisation, tjänster och infrastruktur. De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag. Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster. En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas. En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.

Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt. Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar. Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.

Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan. Det gäller både operativt i rena kravställningar men också strategiskt. Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga. Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.

För att lyckas med krävs mycket stora insatser. Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan. Därefter bör ett nytt uppdrag skapas.  Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv. Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.

Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal ”Informationsförsörjning” innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön. Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering:

Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för
installation i kunds it-miljö

Naturligtvis borde jag nämnt avtalets existens. Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade). Dessutom går ramavtalet såvitt jag kan se ut den sista november i år. Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.

 

Från BITS till utopi

Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997. Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter. När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt. Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet. Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.

Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB. I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.  Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor. BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar. OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.

Seklets första årtionde var rörligt när de gällde informationssäkerhet. Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften:

” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av”

vilket ju låter välbekant.

Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet. Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla). Vad var det då som gjorde BITS så populärt? En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till. Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.

Själv har jag varit skeptisk. Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000). Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär. Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov. BITS övergavs också av KBM och sedermera MSB.

Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar. Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system. Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta sina respektive ledningssystem, sina metoder för risk-och kontinuitetshantering och sina skyddsnivåer. Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten. Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, införande av ledningssystem….

Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas. Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskt informationssäkerhetsarbete i kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.

Jag har därför börjat ompröva min tidigare inställning. Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg. Då menar jag inte att en revision av BITS eller en återstart på OffLIS. Snarare att seriöst analysera vilka delar av ett systematiskt informationssäkerhetsarbete som kan standardiseras i olika typer av organisationer.

Ett nytt koncept borde istället vara inriktat på systematisk informationssäkerhet. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster. För enkelhetens skull så kan vi ta kommunerna som exempel. Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.

De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser. Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner. Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter. Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar. För att underlätta för kommunerna skulle följande kunna göras nationellt:

  • Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer. Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex. som stöd för att efterleva NIS-direktivet.
  • Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
  • Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen
  • Identifiera informationen i dessa processer.
  • Ge stöd för att kartlägga vilka bärare som används för att hantera informationen. Observera att det inte enbart gäller system och tjänster utan även andra bärare.
  • Ge förslag på en standardklassning av informationsmängderna.
  • Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.

Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag. Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.

Låter mycket att ta fram nationellt tänker ni kanske. Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar. Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg. Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.

Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras. Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?

E-hälsans landskap 2

Efter mitt förra inlägg om e-hälsa har jag fått en del kommentarer som visar att sjukvårdens organisation och i ännu högre grad e-hälsoområdets styrning är en okänd värld för många. Som en projektledare en gång sa till mig som en förebärare för Trump: ”Hur svårt kan det vara med sjukvård (och e-hälsa)?”. Ganska svårt skulle jag vilja säga vilket även Trump upptäckte.

Därför kommer här en inledning för att ytterligare förtydliga hur jag uppfattar organisationen idag (finns utrymme för osäkerhet i detta) samt ge ett praktiskt exempel på vad det leder till.

För att bara titta på den bristande styrningen har jag uppdaterat en gammal bild till hur jag tror det ser ut i dag (jag har inte tagit med finlir som kvalitetsregister och trygghetslarm m.m., m.m.). Bilden är ett försök beskriva samspelet. Som framgår är ett flertal myndigheter involverade i olika delar, det finns utförare och leverantörer. Två saker är slående.

Den första är att det inte finns en överordnad myndighet med mandat att hålla ihop helheten och som kan vara kontaktpunkt för övriga aktörer. Med tanke på hälso- och sjukvårdens betydelse för samhället i olika dimensioner, de mycket stora offentliga resurser som går till sjukvården och det stora antalet aktörer som deltar i det gemensamma vårdarbetet måste detta ses som ett icke-rationellt sätt att organisera det hela om man vill ha effektivitet, kvalitet och strategisk inriktning.

Det andra är SKL och sjukvårdshuvudmännens organisation som jag menar inte håller måttet för de uppgifter som man åtagit sig. Sjukvårdshuvudmännen har en roll som offentliga organ som är reglerad i lagstiftningen. Detsamma gäller för vårdgivare oavsett om de är privata eller offentliga. Men i denna ordning har alltmer SKL glidit in, en intresseorganisation som inte är en myndighet, inte har en lagfäst roll och inte omfattas av offentlighetslagstiftningen. Riksrevisionen har pekat på detta i en rapport  gällande den generella styrningen på vårdområdet. Inom e-hälsoområdet är problemen med detta mycket tydligt. En inte oviktig fråga i detta är att det öppenhetskrav som gäller för myndigheter som landsting, regioner och kommuner försvinner då de samarbetar i sin intresseorganisation. Nu när aktiviteter som tidigare skedde i respektive huvudmans verksamhet flyttas in i SKL:s hägn (inklusive Inera) försvinner också insynen. Detta kan jämföras med kommunalförbund där insynsmöjligheten fortfarande finns kvar. Denna fråga verkar inte engagera SKL i någon högre grad, jag söker på hemsidan för att finna om man frivilligt erbjuder en likande insyn i beslutsunderlag och annat som skulle räknas som allmänna handlingar hos SKL:s medlemmar men ser inga sådana informationsinsatser. Jag skickade även ett mail till SKL:s infoadress den 24 juli:

Hej!

Jag vet att SKL inte är en myndighet och därmed inte omfattas av offentlighetslagstiftningen. Däremot är SKL:s medlemmar det liksom medlemmarnas uppdragsgivare. Min fråga är hur eftersträvar SKL att ändå kunna erbjuda motsvarande transparens som medlemmarna förutsätts ha? Detta borde vara allt viktigare i och med att SKL har tagit på sig allt fler uppgifter av operativ karaktär och frågor som starkt påverkar medlemmarnas prioriteringar och finansiering. Eller är SKL:s linje att allmänheten får tillräcklig insyn via det material som publiceras på den egna webbplatsen?

Detta mail är fortfarande obesvarat efter ett par veckor, kanske beroende på semestertider, vilket i sig är en intressant illustration av att SKL inte omfattas av kraven på myndigheter att snabbt besvara inkommande frågor.

I frågan om e-hälsa är det dock de bristande organisatoriska förutsättningarna som är mest värda att ifrågasätta. SKL är i sig inte en organisation som är skapad för att bedriva operativ verksamhet utan för att driva förhandlingar i huvudmännens intresse mot arbetstagare och delvis även mot regeringen. Nu har man omvandlat sig till något som varken är företag eller myndighet men har en horisontell integration där huvudmännen både är leverantörer och kunder, en typ av organisation som redan Vänerskogs jättelika konkurs 1981 visade problemen med.

Denna oreda av aktörer i en infrastruktur av mycket känslig information är detta, ja jag vågar klämma i med, katastrofalt. Ett mycket stort antal stort antal aktörer är inne och rycker i den gemensamma informationsinfrastrukturen utan att det finns en konkret inriktning utom den vision som delas av regeringen och SKL. Jag noterar att webbplatsen inte uppdaterats sedan oktober 2017 men att det kommit en handlingsplan som mest verkar vara ett underlag för förhandlingar samt ett antal fluffiga mål. Det är långt till verkstaden om man säger så.

Vad leder detta till i praktiken? Ett bra exempel är  hur den ganska naturliga frågeställningen om att ge patienten tillgång till mer information om sin hälsa, behandlingar m.m har hanterats. För att klargöra utgångsläget så har patienter haft rätt att ta del av sin journal sedan länge,  se patientjournallagen (SFS 1985: 562).

16 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

E-hälsofrågan i det hela handlar mer om på vilket sätt patienten kan del av journalen. Personligen tycker jag att hela frågan är felformulerad – istället borde den ha varit: ”hur informerar vi patienten på bästa sätt?”. Då hade vårdens arbetsverktyg knappast varit den bästa lösningen utan man skulle jobbat på att ge patienten information i den form och på det sätt som gör det enkelt att ta till sig. Bortsett från detta så påbörjades under början av 2000-talet i landstingsvärlden projekt med målsättning att tillgängliggöra journalen via nätet. Observera att detta endast handlar envägskommunikation – att patienten får möjlighet att läsa journalen.

Trots att dessa initiativ pågick bland huvudmännen bestämde Göran Hägglund som socialminister att ett nationellt initiativ skulle inledas för att alla patientjournaler skulle göras tillgängliga i en tjänst där de kunde användas av tredjeparter efter patientens initiativ. Jag ser det här som ett utslag av att både e-hälsa och e-förvaltning starkt präglades av att under åren runt decennieskiftet ses som en näringsfråga, d.v.s. de personuppgifter som myndigheter samlar in ska ses som råvara för privata tjänsteleverantörer. Do´nt get me started – utrymmer räcker inte till för dra upp alla negativa aspekter av detta…  Låt mig istället nöja mig med att detta var en lösning med så många problem inte minst säkerhetsmässigt att den skulle ha lagt sig i byrålådan på ett mycket tidigt stadium. Nu är det stoppat av Datainspektionen även om eHälsomyndigheten fortsätter att processa stödda av en landets mest exklusiva advokatbyråer till en kostnad på drygt 1,5 miljoner bara 2017 (jag har kollat).

För att summera: det har alltså pågått två parallella projekt utan samordning, så vitt jag kan se, för att överföra information från journal till patienter. Man har inte i lösningarna tagit höjd för hur behovet att patienten med tillräcklig kvalitet och säkerhet ska kunna föra tillbaka uppgifter till vården – en fråga som i sig är en av grundvalarna i en utvecklad e-hälsa.

Exemplet visar mycket tydligt att det inte finns en gemensam plan, behovsanalys eller medvetenhet om att man bygger en gemensam infrastruktur. Min erfarenhet från olika sammanhang inom området är det också ofta saknas vilja att ta vara på professionernas intresse av fungerande arbetsverktyg eller etiska krav. Tråkigt nog tycker jag inte att arbetstagarorganisationerna varit särskilt skickliga på att samla och driva sina medlemmars olika behov, detta är dock bara mer än känslomässig upplevelse från konferensbord och från att ha tagit del av olika debattinlägg.

Trots att alla aktörer med emfas skulle säga att de starkt vurmar för patients intresse kan jag tycka att det är väl lätt att utan fog göra sig till patientens företrädare. Framför allt är det svårt att hitta insikten i att patienter är vi alla och på samma sätt som vi har väldigt olika syn och intressen i andra frågor har vi det även som patienter. Ett flagrant exempel på detta är de som ständigt ställer patientsäkerhet mot integritet. Eller inte erkänner att om en välsituerad grupp använder kommersiella nätläkare för att lindra myggbett så kommer det att inkräkta på andra patienters intressen. Även här måste finnas en mycket större helhetstanke där e-hälsan sätts i sitt rätta sammanhang.

Slutligen kan jag inte underlåta att gå in på integritetsfrågan och hur det gick när jag försökte begära ut mina personuppgifter från vården. Även detta är en god illustration av läget.

Först till den juridiska historiken som går att scrolla förbi om man inte är intresserad men den har rätt stor betydelse för det praktiska utlämnandet av personuppgifter.  Enligt den gamla patientjournallagen hade varje vårdgivare ansvar för sin egen journal och om uppgifterna behövdes hos en annan vårdgivare måste vissa mått och steg vidtas. En ansvarig läkare hos vårdgivare A måste göra en menprövning om det var till men eller gagn för patienten att uppgifterna lämnades ut. Lämnades uppgifter ut skulle ett journalnotat göras om när, vad och till vem uppgifter lämnats ut och hos vårdgivare B fördes uppgifterna in som ”kopia”. Hela förfarandet hade fördelar som att det gav mycket god spårbarhet, patienten kunde eventuellt förhindra att information lämnades vidare om man ville skydda sin integritet och det var inte hela journalen som lämnades vidare utan bara relevanta delar. Jag vill bara påpeka dessa fördelar utan att för den delen behöva anklagas för att vara bakåtsträvare för naturligtvis är detta regler som är svåra att upprätthålla i ett digitalt flöde. Och, ja, jag är väl medveten om att reglerna inte alltid efterlevdes.

Min poäng är att dessa säkerhetsåtgärder inte ersattes av motsvarande funktioner när patientdatalagen (PDL) infördes. Mitt intryck efter att ha följt frågan om vårdinformation tämligen ingående sedan 1994 är att det inte ens fanns en ambition att göra det. Denna min uppfattning stärks när jag läser förarbetena till lagstiftningen. Jag ser patientdatalagen som ett resultat av mer än ett decenniums påverkanskampanj från olika aktörer med innebörden att säkerhet och integritet inte går att förena med digitaliseringen utan man måste välja. Valet blev då tämligen enkelt eftersom den tekniska och organisatoriska förändringen redan genomförts. Resultatet, förutom allt newspeak där dålig säkerhet var bra säkerhet o.s.v., var att i patientdatalagen infördes ”sammanhållen journalföring” som enligt lagens definition betyder:

Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

I och med patientdatalagen ändrades grundprincipen för hanteringen av journaluppgifter från att det tidigare defaultläget var att en vårdgivare inte kunde lämna ut uppgifter utan menprövning till nuvarande defaultläge: att information kan flöda mellan vårdgivare om inte patienten aktivt spärrar utlämnandet. Ett villkor som satts upp för den sammanhållna journalföringen:

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

En sjuk patient ska alltså ta till sig information om hur informationen kommer att hanteras och dessutom ha kraft genomdriva en spärr om hen bedömer att överföringen olämplig. Några saker bör särskilt noteras i detta redan orimliga scenario.
För det första innebär direktåtkomsten att vårdgivare 2 får tillgång till all vårdinformation hos vårdgivare 1 istället för som tidigare ett journalutdrag över information som bedöms vara relevant för det aktuella sjukdomstillfället.
För det andra förutsätter det att vårdpersonalen hos vårdgivare 1 kan ge upplysningar om hur informationen kommer att hanteras i den sammanhållna journalföringen, vilka som kommer att få tillgång till den exempelvis.  Min visserligen anekdotiska men ändå uppfattning efter att ha frågat ett ganska stort antal anställda i vården finns inte en kunskap inom vården hur informationen hanteras och hur ska då personalen kunna upplysa patienten? Detta är inte så konstigt för jag tror uppriktigt inte någon idag har kontroll över informationsflödena i vården.
För det tredje lyser ett decennium efter PDL:s ikraftträdande fortfarande möjligheten att faktiskt spärra sin journal med sin frånvaro hos ett stort antal vårdgivare. I praktiken kan jag inte se att patienten har någon reell möjlighet att vare sig få veta hur den egna vårdinformationen hanteras eller att påverka åtkomsten till den.

Med stöd av den sammanhållna journalföringen har det vuxit fram en vårdinformationsspaghetti där det vad jag kunnat se inte finns vare sig överblick, tydlig styrning eller definierade ansvar. Detta leder också till att när jag hos min vårdgivare frågar: ”Gör ni journalnotat om vilka samtycken till andra vårdgivare jag givit så att jag kan få en sammanställning över vilka som fått åtkomst till mina uppgifter?” får till svar ” Nej, det finns i dagsläget ingen sådan funktion i COSMIC men detta är under utveckling, det vill säga en samtyckestjänst. Vi dokumenterar inte i x:s journal andra vårdgivares samtycken, detta är var och ens eget ansvar. När någon inhämtar ett samtycke i COSMIC så genererar detta en logg samt en referens i journalen.”. Det vill säga att den vårdgivare som lämnar ifrån sig informationen noterar inte detta utan patienten förväntas ansvara för spårbarheten.

Jag vände mig då till Inera som ansvarar för tjänsten Nationell Patientöversikt som är en slags växel då vårdinformation förs mellan olika vårdgivare. På frågan om de kan redovisa vilka som eventuellt tagit del av min vårdinformation svarar de:

”Samtycke måste alltid inhämtas av den vårdgivare som ska ta del av din information i NPÖ. Samtycket ska registreras i det lokala journalsystemet hos den aktuella vårdgivaren.
Det tekniska samtycket loggas i den nationella säkerhetstjänsten som förvaltas av Inera. Det finns ingen dokumentation från journalinformation och inte heller någon information om varför samtycket har inhämtats.”

Deras uppfattning är alltså att de endast har ”tekniska loggar” och att jag fortfarande själv måste hålla reda på mina samtycken trots digitaliseringen. Det framgår också att de anser att de tekniska loggarna inte är att betrakta som personuppgifter. Jag har valt att inte fördjupa mig ytterligare i detta men hoppas att andra tar upp den tråden. Sammantaget skulle jag vilja säga att detta rimmar rätt illa med dataskyddsförordningens krav.

Min egentliga poäng med att försöka beskriva att oreda, de oklara ansvarsförhållandena och bristande överblick är att detta naturligtvis inte bara påverkar patientens möjlighet till personlig integritet. I ännu högre grad påverkas effektivitet,  patientsäkerheten och möjligheten att upprätthålla verksamheten vid större störningar.Särskilt bekymmersamt är det oklara ansvaret som även andra uppmärksammat.  

Vad blir då kontentan av allt detta? Jag tror faktiskt inte huvudfrågan är huruvida sjukvården ska förstatligas utan hur den ska styras (även om jag i dagsläget har litet svårt att se exakt vilket värde den regionala politiska styrningen tillför). Oavsett om det finns 2 eller 200 000 vårdgivare så måste det finnas en stark statlig styrning som då inte enbart omfattar den offentligt finansierade slutenvården som ett förstatligande skulle innebära.  Den nuvarande bristen på styrningen tjänar såvitt jag kan se enbart  oseriösa leverantörer på och möjligen de offentliga företrädare som älskar att åka omkring på olika konferenser och framställa sig som visionära.  Situationen där myndigheter processar mot varandra vittnar väl om något om den rådande anarkin. Om vi inte klarar av att styra digitaliseringen av vården idag så blir tanken på AI och IoT mardrömslik.

Mina förslag är därför att på äktsvenskt maner tillsätta flera rejäla utredningar men med skillnad från de tidigare inte bilägga facit från uppdragsgivaren. Jag ser framför mig en handfull utredningar inom olika områden men som är starkt koordinerade så att resultaten går att använda. Viktigt är att ta hänsyn till de mångskiftande intressen som hälso- och sjukvården ska tjäna, inklusive professionernas och forskningens behov på kort och lång sikt. Inriktningen bör vara att på samma sätt som på 1940-talet bygga en långsiktigt fungerande infrastruktur i bred politisk enighet.

Några förslag (jag tar inte med komplicerade saker som prioriteringar i vården och patienters egentliga intressen):

  • Stärkt samordning av de frågor som påverkar vården i regeringskansliet och en stärkt roll för Socialstyrelsen som sammanhållande kraft i vården och beställare av it-lösningar hos e-Hälsomyndigheten, SKL m.fl.
  • Hur en gemensam infrastruktur ska kunna byggas upp i konkreta termer och ansvarsförhållandena för detta
  • En ny patientdatalag som lever upp till dagens många olika behov och som inte genar när det blir svårt.
  • En arkivlag som kan tillgodse kravet på att bevara den gemensamma informationsinfrastruktur som uppstår inom bland annat e-hälsa. I en ny arkivlag bör finnas utrymme för att fatta beslut om bevaranderegler även för andra än statliga myndigheter, t.ex. ett krav på att viss vårdinformation ska bevaras för all framtid oavsett vårdgivare.
  • SKL:s roll med övervägande om liknande krav på öppenhet som gäller de ingående sjukvårdshuvudmännen. Frågan bör ställas om SKL över huvud taget har de institutionella förutsättningarna att leverera gemensamma e-tjänster eller om detta istället bör ske av myndigheter
  • Utred möjligheten att införa en lösning liknande den norska Normen för informationssäkerhet i den svenska vården. Detta drev jag med klent gehör när jag jobbade på MSB men det är aldrig fel att vädra gamla käpphästar. MSB måste våga överge sin beröringsskräck för verkligheten och kunna ge faktiskt stöd till bland annat vården.
  • Hur e-hälsan systematiskt ska utvärderas och vem som ska utföra det.

Puh! Jag vill verkligen inte påstå att jag kommit med de definitiva sanningarna i dessa komplicerade frågor – det finns så många olika sätt att betrakta den svenska e-hälsan. Säkert har jag missuppfattat eller vantolkat en massa saker. Mitt enda försvar är att jag efter bästa förmåga försökt måla upp en bild av e-hälsa.  Förhoppningsvis kan  dessa långa inlägg stimulera andra att dela sina bild av samma frågor.

E-hälsans landskap

I maj när dataskyddsförordningen trädde i kraft inledde jag ett test: att genom att ställa frågor om hur mina personuppgifter hanterades i vården ville jag göra en temperaturmätning av den kontroll som vården generellt har över vårdinformationen. För hälso- och sjukvård innebär (i princip) inte dataskyddsförordningen någon så stor skillnad eftersom både patientdatalagen och PuL redan gett patienten möjlighet att få tillgång till sin information och (i teorin) spärra åtkomsten till sin vårdinformation. I verkligheten är det och har det sedan patientdatalagen varit svårt för att inte säga omöjligt att få veta hur patientuppgifter hanteras – det är i alla fall min uppfattning som jag ville pröva genom att begära upplysningar om mina egna vårduppgifter med stöd av dataskyddsförordningen. Svaren på mina frågor var negativa (vilket jag kommer att återkomma till senare) men jag fick underlag rörande dagssituationen inom e-hälsoområdet.

Detta inlägg svävar ut in extremis och handlar om i vilket landskap som digitalisering av vårdinformationen sker. Jag ska resonera om den bristande styrningen av e-hälsa samt pusta ut orosmoln om informationssäkerhet och det långsiktiga bevarandet av vårdinformationen. I ett följande inlägg kommer jag att skriva mer om den bakomliggande juridiken.

Först till organisationen av den svenska sjukvården som förvånansvärt många som gör inlägg i e-hälsofrågor inte tycks bottna helt i. Tillåt mig att roa mig med en historisk utflykt.

Den svenska vården är i huvudsak offentligt finansierad via skattemedel. Det regionala sjukvårdsvårdshuvudmännen ansvarar för att erbjuda vård inom det egna upptagningsområdet enligt hälsosjukvårdslagen. Men landstingen och regioner behöver inte själva vara utförare av all vård utan vårdgivare kan även vara privata. Andelen privata vårdgivare har tillväxt mycket starkt under de senaste 20 åren men strukturen med självständiga landsting som sjukvårdshuvudmän har funnits sedan 1862 (med varierande uppdrag). Redan här finns underlag för vanliga missuppfattningar om ansvar men också reella problem eftersom de flesta krav i föreskrifter m.m. riktas mot vårdgivarna och inte sjukvårdshuvudmännen. När det gäller säkerhet och integritet har dock vårdgivarna inte så stora möjligheter att påverka sin situation trots att de har ansvaret – de tvingas (formellt eller informellt) ofta av sjukvårdshuvudmän, SKL eller myndigheter att använda lösningar oavsett egna säkerhetskrav.

Landstingen är kommuner med en politisk ledning vilket gör att inriktningen för olika landsting och regioner kan variera. För e-hälsan som av naturliga skäl blir allt mer nationell är detta en ansvarsfördelning som innebär stora problem, inte minst eftersom landstingspolitiker använt rollen för egna, i mitt tycke kortsiktiga, kampanjer. En misstanke som gror är att e-hälsa används av politiker för att undkomma att diskutera den offentligt finansierade vårdens grundfråga: den nödvändiga prioriteringen. Det är ett väl känt faktum att det inte finns någon bortre gräns för behovet av vård, det finns hela tiden nya sjukdomar och tillstånd som kan behandlas och definitionen av hälsa kan sättas så högt att inte minsta krämpa blir acceptabel. Däremot är vårdens resurser begränsade – alltså måste prioriteringar ske. Detta är den mest laddade av alla frågor för sjukvårdspolitiker eftersom prioriteringar ofelbart kommer att leda till att några patienter blir missnöjda. Den utredning som tillsattes i slutet av nittiotalet för att ge de lokala politikerna stöd i form av nationella prioriteringslistor släppte också snabbt den glödheta potatisen och lämnande ifrån sig litet allmänna rekommendationer om hur processen för prioriteringar skulle kunna ske . Min teori är att politiker och högre tjänstemän i vården nu (omedvetet) använder e-hälsa som en dimridå för att undvika frågan om prioriteringar genom att hävda att e-hälsosatsningar skulle kunna leda till enorma effektivitetsvinster (som då underförstått skulle leda till att alla får den vård de vill ha). I verkligheten sker en mycket negativ icke-styrd prioritering av sjukvårdsmedel genom bland annat kommersiella nätläkare där en ohelig allians mellan nätläkarnas ekonomiska intresse och människor med lättare krämpor prioriterar upp sig på bekostnad av andra med reella hälsoproblem. En hårdvinklad beskrivning men ni förstår vad jag menar. Detta sätter stark press på sjukvårdspolitiker som i vissa fall måste säga nej men hellre säger att e-hälsa kommer att lösa problemen. Själv är jag positiv till de former av e-hälsa som leder till reella förbättringar men att tro att den ska kunna upphäva den omöjliga ekvationen mellan outtömliga behov och begränsade resurser är en vanföreställning som ansvarsfulla politiker borde göra upp med.

En annan viktig negativ faktor är SKL:s förändrade roll. SKL driver sina medlemsorganisationers intressen i förhållande gentemot uppdragsgivaren staten, d.v.s. att man vill att staten ska styra så litet som möjligt (även om det inte uttrycks preeeecis så) vilket ökar på fragmentiseringen ytterligare. Den tidigare sammanhållande myndigheten Socialstyrelsen som var en beredande motpart för SKL blev sönderslagen för några år sedan. Uppgifterna är nu fördelade på fyra myndigheter som tillsammans med Läkemedelsverket tycks ha ett tämligen lågintensivt samarbete. SKL och sjukvårdshuvudmännen agerar som månghövdad maktfaktor utan eget ansvar i det tomrum som skapades när Socialstyrelsen nedmonterades.

Dessutom står e-hälsoområdet under ett starkt kommersiellt intresse, inte bara genom nätläkarna. Den nära alliansen mellan politiken och e-hälsoföretagen känns inte helt betryggande för det kommande. I den tidigare regeringen var två av hälso- och sjukvårdsministerns statssekreterare hämtade från it-leverantörer vilket Dagens samhälle skrev om förra året. Förväntan på stora vinster inom vården och en kanske alltför nära relation är knappast positiva nyheter för patienter och skattebetalare.

Eftersom jag intresserat mig en hel del för den svenska sjukvårdens historia kan jag inte undgå att fundera över att maktbalansen mellan staten som är uppdragsgivaren och utförarna, d.v.s. sjukvårdshuvudmännen (regioner och landsting) samt numera SKL, har förskjutits. Att göra historiska jämförelser är alltid vanskligt men för mig går det inte att motstå frestelsen att försöka analysera varför e-hälsa och digitalisering relativt sett varit så litet framgångsrika samhällsprojekt i förhållande till de resurser som satsat. Hade det gått att prata fram e-hälsa och digitalisering hade det svenska samhället genomgått ett Civilization-moment där den framgångsrike spelaren lyckas uppfinna elektricitet på 1100-talet. Men tyvärr räcker det inte med miljontals power point bilder, konferensinlägg, möten, testbäddar och avgränsade dellösningar för att skapa infrastruktur.  I detta delar jag uppfattningen i följande artikel om floden av åsikter.

Jag tror mig att se några orsaker till det haltande genomförandet av något som trots allt alla varit överens om ska genomföras. Detta är en situation som i mycket liknar den som rådde från slutet av fyrtiotalet och i ett par decennier framåt då det skedde en så här i efterhand nästan ofattbar mobilisering och utbyggnad av den svenska hälso- och sjukvården. När jag skrev en historik om den värmländska sjukvården häpnade jag över att landstinget under en tioårsperiod byggde inte mindre än fyra nya sjukhus! Även om jag är starkt lockad ska jag inte gräva ner mig ytterligare i detta utan bara tacksamt konstatera att den samhälleliga kraftsamling är något som vi nu fortsätter att skörda frukterna av.

Hur kunde man lyckas med denna infrastrukturella revolution? En första förutsättning var att det fanns en stark politisk enighet om att detta skulle genomföras även från de borgerliga partierna som annars kampanjade för skattesänkningar. Men till skillnad mot e-hälsoutvecklingen (liksom digitaliseringen i övrigt) nöjde man sig inte med den politiska enigheten utan skapade även de institutionella förutsättningarna (för den som vill läsa mer om institutionella förutsättningar rekommenderar jag verkligen att läsa litet Lennart Lundqvist eller Bo Rothstein) för utbyggnad.
En viktig sådan var att skapa ett mycket genomarbetat kunskapsunderlag att ta ut riktningen ifrån. I detta var utredningsväsendet mycket betydelsefullt, de utredningsinsatser som gjordes var av mycket hög kvalitet. Häri ligger en väsentlig skillnad mot de utredningar och kommittéer som levererat förslag inom digitalisering och e-hälsa, jag nöjer mig med att instämma i de synpunkter som framförs i den här debattartikeln.

I utvecklingen fanns en mycket kraftfull och sammanhållande motor i Medicinalstyrelsen, sedermera Socialstyrelsen. Det är idag nästan svårt att förstå hur inflytelserik myndigheten var och på vilken detaljnivå man styrde sjukvården. Om vi bara ser till vårdbyggnader fanns det ett regelverk som ner till hur många luftkubik per vårdplats definierade hur sjukhusen skulle byggas. Varje ritning på ny- eller ombyggnad måste skickas in för godkännande och stränga inspektörer åkte ut och kontrollerade att det som byggts höll måttet.
Landstingen var byggherrar och hade det praktiska ansvaret för byggande och vård men deras intressen samlade ingen front i Landstingsförbundet (en del av SKL:s föregångare tillsammans med Kommunförbundet) utan gick huvudsakligen via riksdagen. Där fanns det som kallades ”landstingspartiet” eller ”landstingsbänken” där landstingsordförande som nästan undantagslöst även vara riksdagsmän kunde driva sina frågor – ofta i gott samförstånd oavsett partipolitisk tillhörighet. Även detta var en viktig institutionell förutsättning eftersom det då fanns etablerade och lagfästa former för att lösa intressemotsättningar. Idag är situationen radikalt annorlunda. En viktig skillnad är förstås att det kommit in så många privata aktörer men också att när de gamla institutionerna revs ner ersattes de inte av nya som skulle varit verkningsfulla då man anammade new public management som grundfilosofi för den svenska vården. Jag är för tillfället inne på att försöken att uppnå effektiv digitalisering och e-hälsa är bland de bästa exemplen på hur new public management på ett negativt sätt präglat svensk offentlig sektor. Resultatet har bland annat blivit att Socialstyrelsen i accelererande takt fråntagits mandat och att sammanhållen utveckling ersatts med fragmentisering.  Intresseorganisationen SKL tycks inte heller längre gå via en beredning på myndighetsnivå utan direkt på regeringen och jag har t.o.m. läst meningar som att ”regeringen bör SKL i uppdrag …”.

Den geografiska uppdelningen av ansvar var under perioden mindre problematisk än idag eftersom större delen av vårdens uppgifter kunde lösas inom varje landstings hank och stör. När digitaliseringen tog fart i början av nittiotalet skapades överbryggande strukturer som exempelvis Sjunet och sedermera Carelink. Nu finns både eHälsomyndigheten och Inera m.fl. som utan tydlig gemensam strategi eller regelverk grejar i infrastrukturen. Bortsett från det negativa i att sakna gemensam styrning ser jag det inte heller som problemfritt när digitalisering och e-hälsa blir frikopplade från den kärnverksamhet de ska utgöra stödfunktion för.

En annan aspekt som tycks ha glömts bort är vårdinformationens långsiktiga betydelse både för den enskilda patienten och för forskningen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring. Alla sjukvårdshuvudmän (alltså landsting/regioner) utom en om jag kommer ihåg rätt hade åtagit sig att bevara alla läkarförda journaler för all framtid. Bakgrunden till detta var den enorma betydelse som den vårdinformation som arkiverats från sjuttonhundratalet och framåt haft för den svenska forskningen.

I PDL är kravet att en journal ska bevaras i minst tio är efter att sista anteckningen förts in i handlingen samt att journaler som allmänna handlingar ska hanteras som sådana. Det är ungefär vad som stod i patientjournallagen också men nu är kontexten radikalt annorlunda och även innebörden av begreppen – vad är ens en ”handling” i dagens vårdinformation?  Bara den förändringen att betydligt mindre andel av vårdinformationen är allmänna handlingar och därmed kan gallras av den enskilda vårdgivaren är en stor risk. Vissa sjukvårdshuvudmän har försökt reglera arkivfrågan i avtal med de privata vårdgivarna men detta är knappast tillräckligt. Redan idag är det som presenteras på skärmen hos en vårdgivare en sammanställning av information ur en rad system och tjänster som kan finnas både inom och utom vårdgivarens organisation. Detta är bara inledning av en utveckling där informationshanteringen kommer att bli organisatoriskt och tekniskt allt mer komplex. För att bevara denna gigantiska informationsmassa för framtiden för att kunna serva patienter som envisas med att leva i bortåt ett sekel och för att kunna ge underlag för livsviktig forskning räcker det inte med att litet svävande beskriva ”e-arkiv”. För mig är detta en mycket bekymmersam fråga och det förvånar mig att varken Riksarkivet eller de utredningar som genomförts gällande registerforskningen intresserat sig för detta.

Så här i slutet av litanian vill jag inte på något sätt hävda att vi kan använda gårdagens lösningar idag. Däremot tror jag att det finns mycket att vinna på att ha ett historiskt perspektiv. I detta fall vill jag lyfta fram behovet av kvalitativa kunskapsunderlag som är parlamentariskt förankrade, en långsiktig väl definierad inriktning, institutionella förutsättningar anpassade efter aktuell situation och en sammanhållande kraft med mandat att genomdriva beslutade lösningar. Framför allt tror jag att vi måste erkänna att det finns intressemotsättningar och lyfta fram dem i ljuset för att kunna diskutera hur de ska lösas. Ofta framhålls svårigheten med den geografiska uppdelningen, minst lika stor är den som handlar om de inte helt kompatibla intressena privata utförare och den offentliga finansieringen. Hur dessa intressen ska balanseras mot varandra har hittills varit en icke-fråga i e-hälsosammanhang. Det har vi inte råd att låta den fortsätta vara.

Om vi ska klara upprätthålla den väsentliga del i välfärdssamhället som den offentligt finansierade sjukvården utgör och dessutom införa dataskyddsförordning, NIS-direktiv, civil beredskap och allt annat så måste vi ändra bilden av e-hälsa. Det handlar inte om att släppa ner litet slumpmässiga tekniska lösningar (gärna efter påtryckning av olika leverantörer) utan att se att det kräver samma mobilisering, organisation och koordinering som då sjukvården byggdes ut under efterkrigstiden. Och glöm inte forskningen!

E-arkiv och informationssäkerhet del 2

Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1. Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter. Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation. För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.

För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här:

1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar. Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna. Åtgärderna ska dokumenteras i enlighet med 2 §. Strategin ska fortlöpande kompletteras och hållas aktuell.

Allmänna råd. Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.

Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi. Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.

En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar. Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4. Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade. De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna. Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer. Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade. När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt. Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen. Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande. Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.

För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet. Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens. Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information. Dessutom som redan den store Nils Nilsson underströk: de processuella värdena. Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar. Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, Arkivbildarbegreppet och proveniensprincipen under press? (AFS 1997:3 – det går tyvärr inte att länka till den)  som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.  Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om adminstrative bodies och helhet. I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.

Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till? Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader. För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma. För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare. Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den. Med en  processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).

För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.

Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.

Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS. En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi. Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format. Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.  Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till. Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem. Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering är en imponerande ansats men inte heller den ger de svar som behövs.

Från myndigheterna har jag fått in svar där c.a. 50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin. Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”. Ett antal myndigheter skriver också att de håller på att ta fram en strategi.

Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns). Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.

Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering. Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.

De flesta strategier följer, föga förvånande, RA-FS:ens krav. Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”. Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj. Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.

Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar. I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller praktiskt. Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart. Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.

Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar. Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det. Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell. Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster. Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt. Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.

Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur. Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna. Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge. Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.

Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.  Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.  Ur ett forsknings- och kulturarvsperspektiv finns det  dock anledning att vara bekymrad. Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

E-arkiv och informationssäkerhet del 1

För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem. Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering. Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken. En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.

För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”. Trots att det både säljs och köps s.k. e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara. Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll. Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras. Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende. Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter. Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden. För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet. Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst. Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivt informationssäkerhetsarbete omge e-arkiven med riskanalyser och informationsklassning m.m. på minst samma nivå som för andra digitala lösningar.

I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar. För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring. Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten. Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna. Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.

Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor:

  1. Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  2. Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?

  3. Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv? Vilken tidshorisont har ni för nyttjandet av tjänsten?

  4. Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  5. Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?

  6. Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?

Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling:

62 kommuner (21 % av samtliga tillfrågade)

8 regioner/landsting (40 %)

86 myndigheter (24 %)

Några noteringar kan göras rörande de svarande. Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora. Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %). Av de myndigheter som ingår i eSam som är

 ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.”

och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten. Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.

Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst. Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar. Här var svarsfrekvensen extremt låg när jag ställde dessa frågor:

  1. Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?

  2. Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?

  3. Kan ni erbjuda tjänsten på olika skyddsnivåer? Är alla typer av information möjlig att hantera i dem?

  4. Vilka krav ställer ni på eventuella underleverantörer?

  5. Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?

  6. Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?

  7. Har ni en utpekad informationssäkerhetsansvarig i er organisation?

  8. Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?

  9. Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?

Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”. Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv. Min slutsats är att leverantörerna:

  1. Inte fått tydligt formulerade säkerhetskrav på sina tjänster

  2. Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.

Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.

I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.

Varför funkar det inte? Del 9

Efter att ha spekulerat om varför informationssäkerhetsarbetet inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre. Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens rapport om informationssäkerheten vid nio myndigheter. Riksrevisionen bedömer att ”de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”. Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att ”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.”. Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.

Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare. Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.

En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar. Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar. Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter. En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.

I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå. Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas. Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är. För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp:

  • Försvarsmaktens insatser
  • Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism
  • Det civila försvaret
  • Samhällets krisberedskap
  • Stöd till myndigheter, kommuner, företag m.m. för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet. Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna. Jag tror att det är här vi måste stanna till och inse att det inte är samma informationssäkerhet som det ställs krav på i de olika sammanhangen. En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap. Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet. Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens möjligheter.

Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på. Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade. Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.

Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt. Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.

 

 

caspar_david_friedrich_-_wanderer_above_the_sea_of_fog

 

Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen. En gemensam styrmodell innebär inte att samma styrmedel används överallt. Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar. Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar. Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer. Även detta förhållande måste avspeglas i den strategiska inriktningen.

Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd. När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att det informationssäkerhetsarbete som bedrivs i normalläget integreras med statens digitaliseringssatsning. Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.

För mig är det en viktig princip att informationssäkerhetsarbetet måste styras av behov, inte av utbud. Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet. När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar. Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.