Integritet När de digitala journalsystemen introducerades på 1980-talet blev det utan en funktionalitet som följde lagstiftningen. Detta ödesdigra vägval ligger bakom de säkerhetsproblem som finns i vården idag, skriver Fia Ewald.
Att patienten kan känna sig trygg är en förutsättning för en fungerande vård. I annat fall kommer inte patienter att våga yppa förhållanden som är helt avgörande för att rätt vårdinsatser ska kunna göras. Patientsäkerheten är alltså helt beroende av god integritet. Förutom måste vården även förhindra att vårdinformationen används på andra sätt som kan skada patienten.
Under många år har jag vid föreläsningar tagit upp ett exempel där en kvinna med en kontext av hederskultur genomgår en abort på samma sjukhus där hennes svåger arbetar som läkare. Hennes rätt till integritet handlar definitivt inte bara om abstrakta värden. Det kan tyckas spekulativt att använda exempel som detta. Att det inte bara är en hypotetisk diskussion visar ett aktuellt fall där en man som jobbade extra inom sjukvården i Region Skåne smygläste journaler tillhörande yazidiska kvinnor på jakt efter bevis på om de haft sex före äktenskapet. Detta är bara ett upprörande exempel på risken med att låta anställda som helt saknar patientrelation ta del av tusentals journaler.
2017 kom integritetsutredningen med sitt slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52). Som expert i utredningen kan jag ses som jävig, men vill ändå säga att det var en seriös genomgång av hur det stod till med integriteten i Sverige. Sammanfattningsvis och föga förvånande kan det sägas att läget var och fortfarande är dystert.
Den personliga integriteten ses alltför ofta som en lyxvara som man kan vara utan och som ett hinder för utvecklingen. Särskilt allvarligt är läger inom hälso- och sjukvården där stora delar av våra innersta liv ligger blottlagda. De flesta föreställer sig utan närmare reflektion att du uppger för en läkare angående familjeförhållande, psykisk ohälsa, sexuell dysfunktion, aborter och faderskap stannar i en förtroenderelation där endast de som deltar i din vård kan ta del av den.
I integritetsutredningens utredning summerades tillståndet i vården och det konstaterades att allvarliga risker uppstår i samband med informationshantering till följd av:
- bristande ledning och bristande ansvarstagande över informationssystemen och de personuppgifter som hanteras i dessa,
- komplexa miljöer med många olika system för hantering av information, (gamla system),
- brist på gemensamma lösningar, t.ex. gemensam infrastruktur,
- bristande regelefterlevnad,
- bristande kunskaper hos både personal och ledning, samt
- bristande informationssäkerhet.
Verklighetens skydd för integritet och i förlängningen patientsäkerheten låg 2017 långt ifrån vad vi som invånare, patienter och patienter in spe har rätt att förvänta oss.
När nu äntligen Integritetsskyddsmyndigheten (tidigare Datainspektionen) långt om länge släppte sina granskningar av åtta vårdgivare finns inget som tyder på att läget förbättrats sedan dess. Det ska inte heller tolkas som att de granskade vårdgivarna är sämre än genomsnittet utan detta är enligt min bedömning en rättvisande bild av helheten.
Även om jag var väl förberedd på innehållet så är det en chockerande dyster läsning när den fulla konsekvensen av vad jag redan visste blev förtydligad på detta sätt. Låt mig först understryka att det Integritetsskyddsmyndigheten ställer krav på inte är några nya krav för vården utan de har funnits sedan länge i hälso- och sjukvårdslagen, i Socialstyrelsens föreskrifter och i PuL.
De brister som framkommer har inte heller de nyhetens behag utan är de samma som i de granskningar av vården som Socialstyrelsen respektive Datainspektionen för snart ett decennium sedan. Det är alltså inte så att vårdgivarna är tagna på sängen med helt nya rafflande krav utan det är väl kända försummelser som regioner och vårdgivare medvetet underlåtit att rätta till.
Lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget
Egentligen räcker det att läsa följande stycke i granskningen gällande Capio S:t Görans Sjukhus AB för att se vidden av hur undermålig säkerheten och skyddet för integriteten är:
Ytterligare försvårande omständigheter är att behandlingen av uppgifter om patienter i huvudjournalsystemet hör till kärnan i en vårdgivares verksamhet, att behandlingen omfattar många patienter och möjligheten till åtkomst avser en stor andel av de anställda. Inom ramen för den inre sekretessen har mer än 2700 medarbetare åtkomst till uppgifter som rör närmare 490 000 patienter. Utöver det har mer än 600 medarbetare, inom ramen för den sammanhållna journalföringen, åtkomstmöjligheten till uppgifter rörande cirka 3 miljoner patienter i TakeCare.
För att strö ytterligare salt i såret kan man läsa om Aleris sjukvård AB:
Aleris har ett dokument som benämns ”Behovs-och riskanalys-TakeCare”. Dokumentet har sett ut som det gör idag sedan den 28 maj 2012 då Take Care infördes och gäller både för den inre sekretessen och inom ramen för den sammanhållna journalföringen. Av dokumentet framgår de olika profilerna, så kallade behörighetsgrupper. Dokumentet visar bland annat läsrättigheterna samt skrivrättigheterna för respektive behörighetsgrupp. Alla profiler förutom tekniker har tilldelats läsbehörighet till uppgifterna i TakeCare.
Då ska noteras att man hade 796 350 unika patienter i maj 2019 och 1058 aktiva användarkonton av vilket det absoluta flertalet alltså har läsrättigheter till samtliga patienter oavsett om de har en vårdrelation eller inte. Att Aleris slänger fram en oförändrad riskanalys från 2012 säger nog det mesta om nivån på säkerhetsarbetet liksom när Capio hävdar att de visst har en behov- och riskanalys men att den av okänd anledning är borttappad.
Capio St Göran fick 30 miljoner i sanktionsavgift och Aleris Sjukvårds AB 15 miljoner (plus ytterligare 12 miljoner från sitt andra bolag Aleris Närsjukvård AB) men de är långt ifrån unika. Bristerna hos övriga granskade vårdgivare (granskningen av Kry ännu ej beslutad) bekräftar det vi redan vet bland annat från tidigare granskningar. Säkerheten i den svenska sjukvården är helt undermålig och det gäller inte bara de integritetsrelaterade frågor som Integritetsskyddsmyndigheten granskat utan generellt.
För att förstå hur samtliga granskade vårdgivare (Kry inte inräknade än så länge) så flagrant bryter mot lagstiftningen måsta man känna till att lagtrots när det gäller integritet och säkerhet i digitala lösningar är normen i den svenska vården – inte undantaget.
Att endast medarbetare med vårdrelation eller något annat mycket tydligt definierat skäl ska ha åtkomst till patientuppgifter är inte ett krav som har kommit med dataskyddsförordningen utan har funnits i princip sedan journalerna övergick från att vara räkenskapsmaterial till att vara vårddokumentation. Vi rör oss alltså någonstans i början av förra seklet (hur gärna skulle jag inte vilja gå in på detaljerna i denna historia men inser att alla inte kan vara vårdhistorienördar – skulle någon vilja veta mer så får ni skicka ett mail).
På den tiden pappersjournalerna gällde fanns de inlåsta i journalarkiv med strikta regler om vem som fick ta del av dem. Det kan sägas att ha rått en minimalistisk åtkomstprincip innan begreppet var uppfunnet. Återkommande klagomål fanns på att det var för många som ändå kunde slinka in och läsa det de inte fick men möjligheten får ändå säga vara mikroskopisk jämfört med det som skildras i de aktuella granskningsrapporterna.
När de tidiga journalsystemen introducerades på slutet av 1980-talet hade de inte funktionalitet för en effektiv behörighetsstyrning på individ- och rollnivå vilket var ett första steg på färden mot dagens situation. Istället för att tvinga leverantörerna tillbaka till ritbordet för att konstruera system som följde lagstiftningen började man (med “man” avses i det följande den grupp av leverantörer, it-chefer, byråkrater, politiker och andra makthavare inom vården som ansvarat för digitaliseringen) tänja på normerna och hävda att det gick lika bra att styra med logguppföljning som med behörigheter. Istället för att organisatoriskt och tekniskt begränsa åtkomsten hävdade man att logguppföljning var en jämförbar säkerhetsåtgärd (!).
Denna för svensk sjukvård unika bedömning var ett fatalt vägval ligger bakom en stor del av de säkerhetsproblem som finns i vården idag. De negativa konsekvenserna begränsas inte enbart till att det på dryga tjugo år utvecklats de organisatoriska och tekniska lösningar som är nödvändiga för att följa lagen och ha ens ett basalt skydd för patientuppgifterna. Det har även lett till att man för att motivera det stora felsteget gjort dygd av nödvändigheten genom att hävda att ALLA inom sjukvården behöver tillgång till ALLA patientuppgifter hela tiden – allt annat vore en risk för patientsäkerheten.
Det ledde till en ond spiral där krav på korrekt behörighetshantering inte ens ställts vid upphandlingar
I målande ordalag beskrevs hur nödvändig patientinformation inte skulle finnas tillgänglig för vårdpersonalen vid behandlingar olika slag vilket skrämde upp en hel del läkare och sköterskor som därmed köpte den konstruerade motsättningen mellan patientsäkerhet och integritet. Det ledde till en ond spiral där krav på korrekt behörighetshantering inte ens ställts vid upphandlingar och stora utvecklingsprojekt trots att lagstiftningen är tydlig på denna punkt vilket i sin tur knappast motiverat leverantörer av vårdinformationssystem att utveckla sådan funktionalitet. Det är därför en särskild glädje att Integritetsskyddsmyndigheten i granskningen av Capio S:t Göran slår fast att loggning inte kan ersätta att begränsa åtkomst via behörighetshantering:
Inte heller fiktiva åtkomsthinder som ”journalfilter” eller ”aktiva val” godkänns av Integritetsskyddsmyndigheten som tillräckligt för att begränsa åtkomsten vilket kan vara en bra tumregel att ha med sig in framtida projekt. Det är också bra att Integritetsskyddsmyndigheten drar undan mattan för det i digitala sammanhanget urgamla svepskälet för att ha lagstridig hantering av personuppgifter, nämligen att hävda att man har en akutverksamhet.
Ytterligare en konsekvens är att den lättsinniga hållningen till lagstiftning sedan dess blivit en tradition inom vård-it. Ett aktuellt exempel är när Region Skåne först beslutat att medvetet gå emot bättre vetande och upphandla en vårdinformationslösning som går emot dataskyddslagstiftningen och sedan i sista minuten ändrade sig. Hur mycket denna utsvävning kostat i pengar och förlorad tid är oklart.
Argumentationsfelen för att använda exempelvis molntjänster är desamma som medvetet praktiserats under par decennier i vården: ”ja men det blir ju bättre än det vi har” och så bygger man fast sig i bristfälliga lösningar som det tar åratal att ta sig ur istället för att ställa rätt säkerhetskrav från början och se till att de levereras.
Själv kan jag inte räkna alla gånger som jag, när jag påpekat brister i tänkta lösningar, fått kommentarer som ”ja men det är ju bättre än det som finns idag”, d.v.s. att legitimera kända risker i nya lösningar med en falsk jämförelse om dagsläget. Detta är ytterligare en väsentlig bakgrund till dagens situation och som bygger på samma knäppa riskhantering som är den andra återkommande bristen i Integritetsskyddsmyndighetens aktuella granskningar, nämligen risk- och sårbarhetsanalyser där vårdgivarna återkommande endast analyserar behov och inte risker.
För en sansad människa framstår det kanske som obegripligt varför man över huvud taget bryr sig om att göra riskanalyser om man inte är intresserad av att identifiera och reducera risker. Jag ser det mer som en del i den svenska digitaliseringskulturen där det inte får finnas problem utan vi ständigt är glittrande glada. Och har vi inte identifierat några risker så behöver vi ju inte några säkerhetsåtgärder och då är ”utmaningen” (inte problemet) obefintlig.
Tydliga ansvarsförhållanden är grunden för all fungerande säkerhet. Saknas denna förutsättning kommer säkerheten oundvikligen att bli lidande och det går inte heller att genomföra ett ansvarsutkrävande. I den trassliga spaghettistruktur som är svensk vård-it blir detta synligt även i Integritetsskyddsmyndighetens granskningar. En konstruktion som skulle behöva synas beskrivs i rapporten om Aleris Sjukvård AB:
Federation Samverkan TakeCare (FSTC) är beställare av journalsystemet Take Care och Compu Group Medical (CGM) är leverantör av journalsystemet och ansvarar för de funktioner som systemet har för att styra behörigheter.
Alla funktioner i journalsystemet är skapade av CGM, men det är Aleris som väljer vilka funktioner som en viss personalkategori ska ha tillgång till bland de funktioner som finns inlagda. Aleris har inga tekniska möjligheter att göra ändringar i Take Care eftersom Aleris inte har någon rådighet över journalsystemet. Aleris är endast användare av systemet.
Aleris har inte kunnat ställa några krav på CGM vid upphandlingen av journalsystemet. Bolaget har till exempel påpekat att det funnits problem med journalsystemet bestående i, så vitt avser behörighetstilldelningen, att systemet inte kan separera läs-och utskriftbehörigheter för en läsfunktion. CGM har inte varit intresserade av att ändra detta trots synpunkter från Aleris.
Det är FSTC som kan beställa ändringar av funktionerna och det är sedan upp till CGM om de vill utföra ändringarna eller inte. Aleris har en representant i FSTC som kan framföra Aleris önskemål. Aleris har dock inte fått något gehör för bolagets synpunkter.
Här förefaller det alltså omöjligt för vårdgivaren som även är personuppgiftsansvarig att genomdriva sina säkerhetskrav eftersom en organisation utan formellt ansvar förhindrar det. Om vi nu hypotetiskt litar på att Aleris verkligen ställt rätt säkerhetskrav är det alltså FSTC (som drivs av Region Stockholm) som förorsakat kränkningar av ett mycket stort antal patienters integritet, samt också ”användarna” Aleris sanktionsavgifter. Det borde finnas ett intresse åtminstone från ”användarna” att reda ut ansvarsförhållandena och skapa garantier för att man kan få påverkansmöjlighet på de gemensamma it-systemen så att de följer lagstiftningen även om regionen inte prioriterar den frågan.
Är det någonstans där Integritetsskyddsmyndigheten bör göra nästa granskning så är det hos SKR:s it-bolag Inera.
Trots att det i övrigt finns en god säkerhetskultur i vården har man alltså inte lyckats inympa informationssäkerhet i den. Det huvudsakliga ansvaret för detta ligger naturligtvis hos regionerna som sjukvårdshuvudmän tillsammans med SKR (tidigare Landstingsförbundet) som sedan mitten av 90-talet utlovat gemensamma regler för informationssäkerhet men hittills inte lyckats uppvisa något som ens liknar det.
Är det någonstans där Integritetsskyddsmyndigheten bör göra nästa granskning så är det hos SKR:s it-bolag Inera. Detta är särskilt angeläget eftersom lösningar som NPÖ (Nationell Patientöversikt) som tillhandahålls av Inera saknar adekvat behörighetshantering (se ovan) vilket inte bara drabbar den enskilde vårdgivaren utan samtliga vårdgivare som använder tjänsten.
En annan aktör som väcker viss tveksamhet är IVO vars granskningar hittills inte alls verkar ha genomförts på samma grundliga nivå som Integritetsskyddsmyndigheten. Några verksamheter hänvisar till granskningar som IVO gjort och som på något sätt skulle gett klartecken för den säkerhetsnivå som de nu ligger på. Förhoppningsvis kan tillsynsansvaret av NIS-direktivets tillämpning i vården leda till att IVO utvecklar sina granskningsmetoder.
Jag tror att det är centralt att myndigheterna samverkar här och ser informationssäkerheten i ett helhetsperspektiv och förstår att det är en sammanhängande säkerhetsarkitektur där brister i ett hänseende skapar risker på flera olika sätt. Det skulle även vara en fördel att ha gemensamma granskningsmetoder och kanske t.o.m. genomföra granskningar tillsammans. Många tillsynsmyndigheter kan lära sig mycket genom att studera med vilken noggrannhet och stringens Integritetsskyddsmyndighetens granskningar genomförts.
Idag är det framför allt borgerliga politiker som driver en integritetsfientlig linje
I rättvisans namn ska sägas att vården inte fått särskilt mycket hjälp från myndighetshåll att utveckla sin säkerhet. MSB:s ensidiga tilltro till ISO 27000 och det metodstöd som utvecklats i denna anda är till föga hjälp för vårdens infrastruktur och jag kan inte heller se andra satsningar som tagits fram för att stödja denna i sanning samhällsviktiga verksamhet.
Risken med att en hel befolknings känsliga uppgifter finns lätt tillgängliga kan inte underskattas, särskilt med tanke på den allt starkare internationella trenden av attacker mot just sjukvårdssystem. De tänkbara scenarion som inte kräver någon större fantasi att skapa med denna bakgrund gör det ännu märkligare att sjukvårdspolitiker och -tjänstemän utan inblandning från myndighetssfäten får fortsätta med denna mycket riskabla seglats.
Integritetsskyddsmyndighetens granskningar, som endast rör ett par aspekter av informationssäkerhet, borde ge upphov till ett större samordnande projekt lett av myndigheter för att långsiktigt höja vårdens säkerhet, detta då det är en fråga som regionerna med all önskvärd tydlighet visat att de inte klarar av. En helt nödvändig insats är att tvinga regioners och SKR:s makthavare att erkänna att det finns ett mycket stort säkerhetsunderskott i vården och istället för att stoppa huvudet i sanden ta sitt ansvar och börja bygga för framtiden.
Slutligen är det dock en politisk diskussion om en återtagen rätt till personlig integritet som krävs. Tidigare har rätten till integritet som en balanserande faktor i individens relation till staten varit en självklarhet inte minst för borgerliga politiker och tänkare. Idag är det framför allt borgerliga politiker som driver en integritetsfientlig linje både när det gäller hur den svenska sjukvården organiseras och när det gäller att sälja ut våra patientuppgifter till multinationella företag. Eller sälja och sälja, snarare dela ut gratis…
Jag tycker att det nu är dags för seriösa politiker av olika schatteringar att kliva fram och värna om individens rätt till god vård, god säkerhet och god integritet. Om/när patienterna blir varse om hur vårdslöst deras mest känsliga information hanteras bör varje politiker ha ett svar redo för hur detta ska ändras.
***
Följ Dagens Arena på Facebook och Twitter, och prenumerera på vårt nyhetsbrev för att ta del av granskande journalistik, nyheter, opinion och fördjupning.
