Kommer informationssäkerheten i vården att bli bättre nu?
2011 blev jag utsedd som deltagare i en referensgrupp när Socialstyrelsen skulle revidera sin föreskrift om informationshantering och journalföring inom hälso- och sjukvård SOSFS 2008:14. Föreskriften innehöll en hel del om informationssäkerhet men vården har i ringa grad efterlevt dessa regler vilket Socialstyrelsens egna inspektioner visade redan 2011 som till exempel gällande Karolinska universitetssjukhuset. Vårdens informationssäkerhet har knappast blivit bättre sedan dess och det kan väl därför ses som positivt att Socialstyrelsen nu 2016 äntligen ha kommit i mål med den nya föreskriften. Föreskriften har beteckningen HSLF-FS 2016:40 Journalföring och behandling av personuppgifter i hälso- och sjukvården.
I korthet innebär föreskriften och de allmänna råden ett tydligare krav på vårdgivare att införa ett ledningssystem för informationssäkerhet så att rätt nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet kan utvecklas och upprätthållas. Några reflektioner kan dock göras i samband med föreskriftens ikraftträdande.
En föreskrift är en reglering på detaljerad nivå. När det gäller vårdens informationssäkerhet och e-hälsa saknas dock en strategisk inriktning och en beskrivning av hur vårdens informationshantering på övergripande nivå ska styras så att informationssäkerheten ska förbättras. En överenskommelse har gjorts mellan staten och Sveriges Kommuner och Landsting som kalla Vision e-hälsa 2025 som en ny version av den tidigare Nationella e-hälsostrategin. Vision är nog rätta benämningen med tanke på lösligheten i inriktningen där visserligen ”säkerhet” nämns ett antal gånger men under mycket oklara former. Den heta frågan vem som egentligen har ansvaret för att säkerheten ska bli bättre undviks sorgfälligt. Även e-hälsokommittén på samma fluffiga sätt skrivit om att det är bra med informationssäkerhet men inte hur detta ska gå till. Undertexten är påfallande ofta att informationssäkerhet alternativt integritet måste ”balanseras” mot exempelvis patientsäkerhet eller effektivitet, d.v.s. att informationssäkerhet och skyddet av integriteten skulle hindra att patienten skulle få bra och effektiv vård. Det enda som är tydligt är att många inflytelserika personer inom e-hälsoområdet tycks ha en dimmig uppfattning om vad informationssäkerhet är och därmed inte ser att rätt utformad informationssäkerhet leder till såväl till bättre patientsäkerhet och effektivitet som till skydd för integritet. Den aktuella föreskriften, som kan ses som den nedersta delen i en hierarki av styrande dokument, fångar upp detta men eftersom den mer övergripande styrningen inte går i samma riktning riskerar föreskriften att liksom sin föregångare att bli utan verkan.
Socialstyrelsen har endast mandat att rikta föreskrifter till de enskilda vårdgivarna. Föreskriften säger därmed egentligen till varje landsting eller privat vårdgivare att de ska ha ett ledningssystem för sin egen verksamhet och det är naturligtvis en viktig grundprincip. Men alltmer av vårdens informationshantering sker utanför vårdgivarens kontroll exempelvis i form av att en privat vårdgivare är tvungen att använda den upphandlande sjukvårdshuvudmannens system och rutiner. Framför allt sker dock alltmer av hanteringen med stöd av gemensamma och nationella tjänster som vårdgivarna i praktiken är nödgade att använda för att kunna bedriva sin verksamhet och föreskriftens räckvidd innefattar exempelvis inte E-hälsomyndigheten eller Inera. Detta blir ett olösligt dilemma för den säkerhetsmedvetna vårdgivaren. Å ena sidan stipulerar det egna ledningssystemet att man måste formulera krav på säkerhet hos externa parter som hanterar ens information, å andra sidan har man ingen möjlighet att göra det i förhållande de stora aktörerna som hanterar alltmer av ens information. Kvar står vårdgivaren med ansvaret gentemot patienterna och den bristande legitimiteten hos det egna ledningssystemet.
Föreskriften matchar alltså inte behovet av styrning av informationssäkerhet i den alltmer omfattande e-hälsan. Visionen för e-hälsa 2015 sägs vara:
År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och ehälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
I detta borde ingå en stor satsning på att förbättra informationssäkerheten inom vården. Det finns dock ett ömsesidigt ointresse där e-hälsans banerförare i mycket liten omfattning ser betydelsen av informationssäkerhet samtidigt som instanserna med ansvar för informationssäkerhet inte aktivt stödjer vården.
Svaret på frågan i rubriken är nog tyvärr: nej, inte särskilt mycket. Vad som skulle behövas vore en ordentlig utredning av vårdens behov av informationssäkerhet som skulle kunna ligga till grund för framtidens visioner. En bredare utredning skulle också kunna lägga grunden för en bättre kommunikation mellan vårdens representanter och företrädare för informationssäkerhetsområdet. Med en samsyn kring behov och möjligheter finns en väg framåt som skulle gagna inte bara de enskilda patienterna utan samhället i stort.