Region Gävleborg har en historia av att vara ointresserade av patienternas integritet och säkerhet. Redan 2017 riktade dåvarande Datainspektionen skarp kritik mot att man haft i princip fullt blås i sina vårdsystem så att i princip alla anställda haft tillgång till all information:
I praktiken innebär detta att all personal som har åtkomst till systemet, även har åtkomst till all information om alla patienter, något som strider mot patientdatalagen. Trots upprepade krav på åtgärder från Integritetsskyddsmyndigheten har inga åtgärder vidtagits.
Regionen var inte ensam vilket jag skrev om här men en egenhet hos regionen är att man haft som linje att strunta i kraven på åtgärder och arrogant fortsätta som förut.
Denna arrogans tar sig nya närmast megalomana höjder här när regionens utvecklingschef tillåter sig att ha en helt privat lagtolkning som innebär att han liksom får välja vilka lagar han ska följa och vilka han kan strunta i. Han tycker att det är helt ok att lägga patienternas vårduppgifter i en amerikansk molntjänst trots att det både strider mot dataskyddsförordningen och även innebär mycket stora informationssäkerhetsrisker - något som strider mot patientdatalagen:
Från regionens sida säger man att man tagit tjänstemännens varning på allvar, men att man vägt nyttan från AI-verktyget mot säkerhetsriskerna.
– Hälso och sjukvårdslagen säger att vi ska arbeta kostnadseffektivt, och vi menar att den stora nytta vi kan dra av systemet överväger vad vi upplever som en mindre risk kring inforationssäkerhet. Därför är vi skyldiga att göra det här, säger Simon Nilsson som är utvecklingschef i Region Gävleborg.
Man häpnar över denna helt sanslösa bedömning av en utvecklingschef som därmed utsätter sina vårdpersonalen för en överhängande risk att delta i lagbrott och i att bryta sina patienters förtroende. Vem är han att säga att han kan välja och vraka bland lagar och därmed helt strunta i patienternas säkerhet och integritet? Och var är det politiska ansvaret: har de förtroendevalda bestämt sig för att vaska sina väljares förtroende och/eller är de duperade av en tjänsteman som leker att han jobbar i en startup på 90-talet?
Känslan är att Region Gävleborg är en fullständigt isolerad by på den sibiriska tundran där man överhuvudtaget inte brytt sig om att uppdatera sig om hot och risker de senaste decennierna. Än mindre kikat litet runt sig och sett att det kanske nu är mindre än någonsin är lämpligt att använda en amerikansk molntjänst för hantera känsliga personuppgifter. Det skulle liksom inte ens behövas lagstiftning för att förstå det.
Det är något närmast hjärtslitande över svensk digitalisering av vården där samma misstag upprepas på repeat utan att någon lärande reaktion uppstår. Uppenbarligen måste invånarna hjälpa regionerna på traven för att de ska hamna på rätt spår. Första steget är naturligtvis att anmäla regionen till både IMY och IVO samt om inte det tar skruv till polisen. Lyckligtvis är det valår och jag tycker vi alla men inte minst röstberättigade i Gävleborg ska utsätta de som gör anspråk på deras förtroende för en massiv kampanj med frågor om regionens digitalisering där både integritet, säkerhet och pengar far all världens väg. Detta är sannolikt det enda sättet att skydda sin egen integritet och säkerhet, att göra det till en valfråga.
Vad som ska hända med utvecklingschefen kan jag inte spekulera om men det finns säkert många andra positioner i regionen att utvecklas på.
PS: Jag har begärt ut alla beslutsunderlag eftersom jag naturligtvis är nyfiken på både bedömningar och beräkningar.
