Inte nu heller – när ska det bli dags för säker e-hälsa?
Knappt hinner jag avsluta ett inlägg om nationell säkerhetsstrategi förrän regeringen och SKL lanserar en gemensam tvåårig handlingsplan för samverkan vid genomförande av Vision e-hälsa 2025 Som intresserad av nationella initiativ inom digitalisering och säkerhet får man ligga i för att hinna med!
Visionen innehåller inte mer konkreta mål än att vi ska vara ”bäst i världen”, ett uttryck som har en litet osund bismak i Trumps tidsålder:
År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Utöver detta nämns tre insatsområden; regelverk, enhetligare begreppsanvändning samt standarder. Under insatsområdet regelverk sägs:
Utgångspunkten i arbetet med regelverk inom e-hälsoområdet är att balansera rättigheter eller intressen såsom skydd för personlig integritet, kvalitet, säkerhet och effektivitet. De lagar och andra föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen. Regelverket bör hantera den tekniska utvecklingen. Om regelverket behöver ändras för att tillgodose kvalitet och effektivitet i verksamheten ska även behovet av integritets- och säkerhetsskydd tillgodoses.
Bortsett från att begreppet säkerhetsskydd används på ett felaktigt sätt för den sista meningen i stycket fram den för mig helt obsoleta tanken att det skulle finnas en motsättning mellan säkerhet å ena sidan, kvalitet och effektivitet å den andra. I andra branscher har man lyckats ta sig från föreställningen att informationssäkerhet är detsamma som krånglig sekretesshantering, så icke på Regeringskansliet och i SKL:s korridorer.
En handlingsplan måste väl ändå vara mer inriktad på faktiska aktiviteter tänker man hoppfullt. Samma tre insatsområden återkommer av naturliga skäl, och minst intresse ägnas regelverksområdet. Inledningen uppvisar samma felaktiga intressemotsättningar:
De lagar, förordningar och föreskrifter som är styrande för verksamheterna ska säkra den enskildes olika rättigheter eller intressen, men måste också kunna hantera de specifika frågeställningar som den digitala utvecklingen medför. Insatserna syftar därför till att uppnå ändamålsenliga regelverk som både värnar individens integritet och säkerhet, och samtidigt medverkar till att främja den digitala utvecklingen. Det handlar om att balansera rättigheter såsom skydd för personlig integritet mot en jämlik, patientsäker och tillgänglig vård.
Målbilden är en aning konkretare:
Skapa ändamålsenliga regelverk som såväl värnar individens integritet och säkerhet som främjar den digitala utvecklingen, samt underlätta tillämpning och införande av regelverk i berörda verksamheter.
Det låter ju jättebra tänker jag efter att i åratal tjatat om nödvändigheten av gemensam styrmodell för informationssäkerhet. Äntligen ska det tas krafttag! Men när jag läser om de gemensamma aktiviteter som staten och SKL ska genomföra blir jag modfälld igen:
-
fastslå en process för att gemensamt identifiera och fånga behov av information gällande befintliga regler eller kommande förändringar av dessa,
-
skapa förutsättningar för en säkrare läkemedelsprocess,
-
bevaka intressen, sprida kunskap om initiativ samt vid behov ta fram nationell vägledning rörande EU-samarbetet.
Hur dessa aktiviteter ska kunna leda fram till ett gemensamt regelverk undgår mig, och om detta är det som ska genomföras fram till 2019 lär informationssäkerheten inte förbättras i vården på den här sidan decenniet. Samtidigt är det uppenbart att säkerhetsproblemen blir allt större, bara de senaste dygnen har förlossningsvården i Stockholm drabbats allvarligt, regionsjukhuset i Örebro haft stora problem och Nya Karolinskas patientlarm slagits ut av skottsekunden. Själv har jag börjar samla på medierapporter om brister i informationssäkerheten i vården eftersom det saknas officiell statistik och det är mycket oroande läsning. Jag känner en växande förtvivlan över att riskerna faktiskt inte tas på allvar av de som styr vården, inte ens då man sätter sig ner för att planera framtiden.
Problemen går inte att lösa för varje vårdgivare utan måste samordnas. Det räcker det inte med att identifiera befintliga regelverk eller att nöja sig med att skapa säkrare läkemedelsprocess. Det går inte heller att som i den nationella säkerhetsstrategin intressera sig för sjukvården endast i krigs- och krissituationer. Vad som behövs är en stor samordnad satsning på normallägets sjukvård som du och jag är beroende av och då är det inte bara regelverk som ska samordnas. Istället måste de politiker som gärna vill profilera sig som digitaliseringens ambassadörer se litet längre än nästa val, gräva litet djupare i fickan och börja bygga en integrerad säkerhetsarkitektur. För att vi ens ska få en hyfsad e-hälsa som patienter kan lita på krävs en stor ekonomisk satsning, jag tänker mig en informationssäkerhetsmiljard med tanke på hur eftersatt området är. Dessutom kompetens och uthållighet. För att bli bäst i världen … ja, då krävs ännu mycket mer och av detta syns ingenting i handlingsplanen.