Obducera mera
Ofta funderar jag över alla kraschade it-projekt men även de mindre lyckade. Hur går det egentligen till när inte minst kommuner och regioner drar igång projekt, till och med utrustade med miljardbudget, som sedan havererar. Tyvärr har jag inte trots idogt sökande lyckats hitta någon forskning eller utredning som visar på hur stor andel startade projekt som leder till acceptabla respektive oacceptabla resultat. Min icke-bekräftade uppfattning är att andelen misslyckade projekt är större än vad vi vill veta men jag blir gärna motsagd av den som har belägg för motsatsen.
I vilket fall snubblade jag över en artikel i lokalpressen som fångade mitt intresse och som kanske skulle kunna ge ledtrådar om hur it-projekt bedrivs.
Ju mer jag läste desto mer nyfiken blev jag. Först var det mest förhållandet att it-projekt ofta drivs utan att de som är mest insatta är delaktiga, i det här fallet vårdadministratörerna, som slog mig.
Sedan började jag tänka på att den här typen av lösningar med taligenkänning varit på tapeten ända sedan andra sidan sekelskiftet. Redan då jag jobbade med informationssäkerhetsfrågor i landsting kom det tämligen regelbundet upp nya lockande erbjudanden om hur det som då kallades läkarsekreterare skulle kunna avvecklas som grupp. Vid närmare granskning höll lösningarna inte måttet för en mer generell användning vid sidan om en av leverantören utvald subspecialitet. Att överföra tal till skrift är en betydligt svårare process än vad man föreställer sig i förstone. Inom sjukvården blir kraven också mycket högre på korrekt överföring än vad t.ex. en journalist behöver för att snabbt få ett skriftligt utkast från en intervju att arbeta vidare med. Felaktiga uppgifter i en journal kan få mycket allvarliga konsekvenser för patientsäkerheten.
Jag ska inte trötta er med alla påminnelser som krävdes för att få projektdokumentation från regionen men låt oss sammanfatta att beslut om utlämnande inte skedde inom tre arbetsdagar utan att vi snarare pratar om mer än tre veckor.
Men för att följa gången i denna digitaliseringssträvan som beskrivs i artikeln verkar inledningen vara ett pilotprojekt för att testa taligenkänning "brett" i verksamheterna. Tyvärr får man känslan av att leverantörens beskrivning av tänkta fördelar med verktyget legat till grund för bakgrundsbeskrivningen - inte en problemformulering från regionen själv. Redan där finns en tydlig bias för projektet.
En alternativ bakgrund skulle kunna vara t.ex. "Regionen har uppmärksammat att dokumentationen av vårdhändelser tar mycket tid samt att det i vissa fall tar alltför lång tid mellan händelsetillfället och signeringstillfället. Detta kan leda till att verifierad information inte finns tillgänglig vid näraliggande vårdtillfällen. Projektet syftar därför till att hitta lösningar för att korta tiden mellan en vårdhändelse, dokumentationen av denna och signering av dokumentationen. I projektet kommer därför tre olika lösningar att testas och utvärderas där fokus även kommer att ligga på olika typer av säkerhetsaspekter." Att jämföra olika alternativ skulle naturligtvis göra testet betydligt mer meningsfullt men projektet väljer att inte undersöka förutsättningarna för de andra två dokumentationsmetoder som förekommer:
- personal skriver själva journalanteckningar
- personal dikterar i en digital lösning där sedan dokumentation sker av vårdadministratörer
Det breda testet kan inte heller sägas ske i piloten eftersom endast 2 verksamheter (en klinik och en vårdcentral) och 11 testanvändare deltog i projektet. Den tid testanvändarna lade ner på testet nådde sin höjdpunkt med knappt 18 minuter en av testveckorna, övriga veckor kortare tid. Orsaken till den låga prioriteringen anges framförallt vara pandemin och den höga arbetsbelastning som följde av detta. Testen skedde under våren 2021.
En särskild notering kan göras om att testet tycks ha skett i skarp drift efter, d.v.s. det är med verkliga patientuppgifter i den normala driftmiljön som det genomförs - inte i en separat testmiljö med testdata. Om detta stämmer är det ett kardinalfel ur säkerhetssynpunkt eftersom det innebär stora risker.
Det leder in på nästa fråga rörande testutförande. I regionens (något egenartade) informationssäkerhetspolicy finns reglerat var som ska göras då en ny lösning ska införas:
Informationssäkerhetskrav och säkerhetsåtgärder ska återspegla värdet av den information som ska hanteras och den potentiella negativa påverkan på verksamheten som brist på tillräcklig säkerhet kan leda till.
Identifiering av informationssäkerhetskrav ska integreras i samtliga
processers tidiga faser då det kan leda till mer verkningsfulla och kostnadseffektiva lösningar. Kravet på riskanalyser vid anskaffning ska följas, dokumenteras och följas upp. Ett system eller tjänst ska, innan det tas i drift, ha godkänts ur säkerhetssynpunkt av informationsägare baserat på analysarbetet.
Inte särskilt tydligt formulerats alltså men detta är ett grundkrav i allt systematiskt informationssäkerhetsarbete: att informationsklassningar och riskanalyser inleder upphandlings- och utvecklingsprojekt. Orsaken är att säkerhetskrav måste formuleras så tidigt som möjligt både för att en lösning ska kunna kravställas rätt från början och för att dessa krav ska kunna följas upp i utvärderingen av testet. Min uppfattning är att en mycket stor andel av säkerhetsproblemen, inte minst i vården, skulle ha undvikits om man inte slarvat över detta. I rapporten från det aktuella pilotprojektet finns inga säkerhetskrav över huvudtaget formulerade, inte heller hänvisningar till informationsklassning respektive riskanalys. Patientsäkerhet nämns enbart i förhållande till eventuellt snabbare tillgänglig information, däremot inte alls i form av krav på riktighet vilket är fullständigt avgörande för att den här typen av tjänst ska kunna sägas vara säker.
En intressant aspekt är att den testade taligenkänningslösningen såvitt jag kan se bygger på en amerikansk molntjänst. Det borde hejda även den mest ivrige eftersom ett införande ev en ny amerikansk molntjänst i en miljö med mycket känsliga personuppgifter är att boka in framtida problem.
Det har tyvärr varit svårt att klarlägga hur det står till med säkerhetsarbetet och användandet av molntjänster för när jag ställer följande frågor till regionens projektägare:
Hej!
Jag har läst igenom den dokumentation jag fått och har två följdfrågor:
Jag kan inte i se i projektbeskrivningen att någon informationsklassning eller riskanalys genomförts i projektet. Inte heller finns någon ansvarig för informationssäkerhetsfrågor noterad bland deltagarna. Har informationssäkerhetsaktiviteter genomförts i projektet utan att detta dokumenterats eller har de inte genomförts alls?
Nuance är såvitt jag kan se en amerikansk molntjänst tillhandahållen av Microsoft. Stämmer detta eller ska ni köra någon slags on prem-lösning (kan inte se att det erbjuds på deras webbplats https://www.nuance.com/sv-se/healthcare.html)? Vilken typ av konsekvensbedömning har gjorts som lett fram till att ni tänker hantera patientuppgifter i en amerikansk molntjänst (om nu det är fallet)?
Får jag följande kärva och litet överraskande svar
Projektets inre arbete delar vi inte med externa intressenter.
Ang 2 så är det inte aktuellt med amerikansk molntjänst. Kommenterar inte vidare pågående process.
Jag skulle förstås kunna börja ifrågasätta bedömningen av vad som är allmänna handlingar men efter att ha fått tjata om att få ut till och med informationssäkerhetspolicyn nöjer jag mig med att påpeka att regionen nog har en del att jobba med när gäller offentlighetsprincipen. Det är oklart om man nu väljer en annan taligenkänningslösning än den som deras vårdinformationssystemsleverantör rekommenderat eller hur det svaret ska tolkas.
Bortsett från alla de säkerhetsfrågor som dyker upp blir utfallet av testet inte övertygande heller ur effektivitetssynpunkt då det är osäkert om effektmålen uppnås ens vid en godvillig tolkning. För läsaren framstår det som av vårdpersonalen upplevs som bäst är diktering som skrivs ut och kvalitetssäkras av vårdadministratörer. Gå gärna in och gör en egen bedömning i dokumentet ovan.
Trots detta mediokra resultat anser de ansvariga i Region Värmland uppenbarligen att utvecklingen gått framåt till en sådan nivå att det är rimligt med ett breddinförande. Drygt ett halvår senare drar man igång ett nytt projekt.
Syftet med projektet är att:
Taligenkänning som teknik och arbetsmetod ska införas för den absoluta majoriteten av alla journalförare i Region Värmland och användning av diktering som primär dokumentationsmetod ska successivt reduceras, alternativt långsiktigt tas bort.
Även i detta fall utgår man från samma bakgrund som ger en känsla av att det är leverantören som formulerat den. Observera att inte heller här hänvisas till någon riskanalys eller informationsklassning. Ej heller en ordentlig genomgång av patientsäkerhetsrikser. Ekonomiska underlag lyser med sin frånvaro. Återkopplingar till de svagheter som uppdagades vid piloten görs inte.
När man jämför med rapporten från pilotprojektet är det svårt att förstå hur man hamnade här. Jag tar inte upp det här som ett skräckexempel. Tyvärr tror jag att det alltför ofta är precis så här det går till när ny teknik ska introdceras i vården, även i miljardprojekten. Vissa gemensamma förhållningssätt kan urskiljas:
- Dålig problemformulering med bias för en viss typ av digitalisering. Det vill säga man formulerar inte ett tydligt problem (i det här fallet att korta tiden mellan vårdhändelse och verifierad dokumentation) och därefter öppet söker efter lösningar. Istället har man bestämt sig för en viss produkt eller tjänst.
- Starkt beroende till en leverantör som "hjälper till" med både problemformulering och argument för de oerhörda fördelar ett införande skulle innebära.
- Bristande metodik för att formulera vad en viss tjänst ska förväntas leda till fördelar och även påverkan i övrigt. Till och med basala ekonomiska beskrivningar saknas ofta - trots detta fattas beslut om mycket stora belopp.
- Den bias först för digitalisering i sig och därefter för en viss tjänst gör de som driver projektet resistenta mot uppenbara frågor som bör hanteras och som t.o.m. kan leda till att projektet bör avbrytas. Istället travar man på över tundran och förbränner pengar och engagemang.
- Det lätt tonårsaktiga argumentet att "alla andra gör det" som ofta används när man vill "utmana" lagstiftningen.
- Alltför ofta saknas de som sitter på den egentliga kompetensen i projekten, i det här fallet vårdadministratörerna. De kanske glöms bort eftersom projekten drivs på en högre höjd men ibland dyker en svag misstanke upp om att kompetensen avsiktligt inte tas med. De som representerar den upplevs som "jobbiga" eller "gammeldags" och som hinder för projektets framfart.
- Test utförs i skarp drift (otänkbart i andra sektorer) vilket leder till stora säkerhetsproblem men också till att de blir ytliga och snabba eftersom det inte går att tynga ordinarie verksamhet med att utföra extramoment. Resultatet blir test som blir så svaga att de inte går att utvärdera och inte borde tas till intäkt för att gå vidare.
- Informationssäkerhet och dataskydd rundas. Detta sker vanligen med någon fras om att det tar vi senare, ett "senare" som aldrig dyker upp eller gör det när det är alldeles för sent för att kunna vidta rätt åtgärder på bästa sätt.
Med detta sätt att hantera projekt blir följden antingen att projekten genomförs och levererar en undermålig lösning eller att de skrotas. Båda fallen bör ses som misslyckanden. När jag kollar runt litet i olika verksamheter hur de hanterar projekt som ändå upplevs som misslyckade, om de utvärderas för att skapa ny kunskap om hur man inte bör göra möts jag i de flesta fall av kompakt tystnad. Detta är också ett gemensamt drag: att det är mycket svårt att erkänna ett misslyckande och ändå försöka använda det för att komma vidare. Konsekvensen blir att samma felsteg upprepas gång på gång utan att vi blir klokare. En offentlig projektkyrkogård med krav på obduktion innan begravning vore kanske det som skulle ge svensk digitalisering en rejäl skjuts?