Jag började skriva om konstruktiva vägar framåt men kände att det behövdes litet food for thought för att konkretisera när informationssäkerhetsarbetet inte fungerar. För att göra problembilden angelägen tänker jag i det här inlägget skriva om den pågående digitalisering som det fästs mycket stora förhoppningar vid både inom e-förvaltning och e-hälsa. Regeringens inriktning är att effektiviteten ska sporras, pengar ska sparas och tillgängligheten öka för både medarbetare och allmänhet genom digitalisering samt att Sverige ska bli bäst i världen på digitalisering. Den nationella vinnarskallen går även igen på e-hälsoområdet där regeringen och SKL tillsammans i skriver i sin Vision e-hälsa 2025:
År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.
Premissen för det följande resonemanget är att om regeringens målsättning ska kunna uppnås måste digitaliseringen ske med hänsyn till den personliga integriteten och med stöd av ett systematiskt informationssäkerhetsarbete. Detta är inte min personliga uppfattning utan den analys som både OECD och ENISA gjort angående digitalisering; informationssäkerhet och skydd av integriteten är förutsättningen för att det goda vi (och regeringen) vill ha ut av digitaliseringen ska bli verklighet.
Det är alltså tre ”klossar” som ska byggas ihop för en fungerande digitalisering. Klossarna har olika status där digitaliseringen är det rationella syftet, integriteten en rättighet och informationssäkerheten en stödfunktion. För den offentliga verksamhetens digitaliseringen sitter regeringen med kontroll över alla tre klossarna. Man har utsett kommittéer, kommissioner och skapat myndigheter som E-delegationen, Digitaliseringskommissionen, E-legitimationsnämnden och eHälsomyndigheten för att stimulera och styra digitaliseringssträvandena. Även för värnet att den personliga integriteten finns en myndighet som Datainspektionen och kommittéer som exempelvis Integritetskommittén . Slutligen finns samma typ av statliga institutioner när det gäller informationssäkerhet som bland annat MSB och ett antal statliga utredningar om informationssäkerhet det senaste decenniet.
Men trots denna kontroll över medlen, hur lyckas hopfogandet av klossar? För pröva detta utgår jag från två aktuella exempel på myndighetsutövande; eHälsomyndigheten och Digitaliseringskommissionen. I detta inlägg hinner jag med endast eHälsomyndigheten men jag återkommer med Digitaliseringskommissionen i nästa inlägg.
Ehälsomyndigheten ska enligt regeringens förordning: ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet. (SFS 2013:1031). Det är alltså ett mycket tungt uppdrag som innebär att både samordna andra aktörer men att också tillhandahålla egna digitala tjänster. Hälso- och sjukvård är en av de mest vitala uppgifterna i samhället samtidigt som sjukvårdens informationshantering innehåller mycket integritetskänsliga uppgifter om alla som bor i Sverige. Ehälsomyndigheten borde därför rimligen ha den nationellt mest utvecklade nivån av informationssäkerhet inklusive åtgärder som skyddar den personliga integriteten. Mitt intryck är dock att så inte är fallet. För transparensen skull bör jag kanske påpeka att jag offentligt framförde synpunkter på myndighetens tjänst Hälsa för mig som skulle lanseras under 2015, t.ex. här och här. Jag var definitivt inte ensam om att vara frågande inför säkerheten Hälsa för mig, så var även Datainspektionen med flera. För eHälsomyndigheten borde detta vara en oro att ta på allvar så jag går in och tittar på deras hemsida för att se hur de kommunicerar om informationssäkerhet och integritet. Min walk-about på webbplatsen inger dock ingen trygghet. När man beskriver sina satsningar finns säkerhet med som en sådan men med en text som endast tar upp effektiv inloggning: Digitaliseringen ger stora möjligheter för förbättringar, men om ett stort antal tjänster används samtidigt blir det krångligt för användare med många inloggningar och tidskrävande administration av användarkonton. Inom sjukvårds- och omsorgssektorn finns behov av lösningar som garanterar en patientsäker, kostnadseffektiv och praktisk åtkomst av e-tjänster inom och mellan olika organisationer. När man skriver om utmaningarna inom e-hälsa lyfter man fram: En svårighet är att ingen vårdgivare har en heltäckande bild av dig som patient. Däremot inte ett ord om utmaningen i att upprätthålla god integritet. Tjänsten Hälsa för mig har följande underpresentation:
Ett säkert utrymme
Hälsa för mig är en frivillig, kostnadsfri och säker lagringsplats för information. Du bestämmer själv vilken information du vill lagra på ditt hälsokonto. Som användare identifierar du dig med svensk e-legitimation, till exempel bank-id eller mobilt bank-id. Tjänsten och den tekniska lösningen är utformad i enlighet med relevant lagstiftning, bland annat personuppgiftslagen (PUL) och de krav på säkerhet den innehåller.
Du kan dela din information med andra privatpersoner som har registrerat ett eget konto i Hälsa för mig. Det är du som bestämmer om du vill dela din information med närstående, och vilken information du i så fall vill dela.
eHälsomyndigheten kommer endast att lagra och tekniskt bearbeta din information för din räkning. Vi har inte tillgång till din information.
Texten väcker fler frågor än vad den ger svar och jag letar vidare på webbplatsen efter mer exakt information om var patientinformationen lagras, på vilket sätt den är ”säker” och vem som har ansvar för den o.s.v.. Möjligen letar jag för dåligt men om jag som är en ganska van samt frisk internetanvändare inte kan hitta den informationen så är jag osäker på hur det går för andra.
Kanske är inte detta så märkligt. I den ovan nämnda Vision 2015 ägnas både informationssäkerhet och integritet ett mycket förstrött intresse. Här förekommer den alltför vanliga synen att integritet ska ”balanseras” mot andra intressen. Den som har den uppfattningen kommer att få ett hårt uppvaknande om inte annat då dataskyddsdirektivet träder i kraft…
Texten ger inte heller intrycket att ha tagits fram med medverkan av någon som arbetar med informationssäkerhet, detta då exempelvis begreppet säkerhetsskydd används på ett sätt som nog ingen professionell skulle göra. Visionen undviker samvetsgrant att beskriva vad som avses med informationssäkerhet, den enda gång ordet används sägs det att är en ”princip”. Detta är kanske orsaken till eHälsomyndigheten sedan helt undviker ordet i rapporten om sitt samordningsuppdrag .
För att sammanfatta: det finns en myndighet med ansvar för ett väsentligt område för digitaliseringen – e-hälsa. Integritetskommittén som regeringen tillsatt pekar i sitt delbetänkande på de stora risker för den personliga integriteten som finns i dagens hälso- och sjukvård samt att informationssäkerhet är ett väsentligt redskap för att skapa och upprätthålla integritet i vården. I NISU, regeringens utredning om samhällets informationssäkerhet, backar man från att ta upp frågan om integritet och går inte heller in på samhällsviktiga verksamheters (som sjukvårdens) behov av systematisk informationssäkerhet. I den vision som regeringen och SKL lade fram i år liksom eHälsomyndighetens rapport om sitt samordningsuppdrag spelar både integritet och informationssäkerhet minst sagt underordnade roller. Detta trots dataskyddsförordningens ikraftträdande allt närmare med omfattande och nya krav på integritet vilket i sin tur ställer ännu större krav på informationssäkerhet. Och i den mer konkreta tillämpningen ger eHälsomyndighetens webbplats inga ledtrådar om vilka åtgärder som vidtagits i för informationssäkerheten i Hälsa för mig sedan förra årets kritik.
I fallet e-hälsa är det, trots den oro som framförts, svårt att tycka att regeringen samordnat de tre klossarna digitalisering, integritet och informationssäkerhet på ett särskilt bra sätt.