FOTO: Taylorlight/flickr

IT-säkerhet Svenska patientjournaler kan komma att hamna i händerna på amerikanska företag och den amerikanska regeringen. IT-säkerheten kan inte garanteras, larmar en rad forskare, politiker och experter.

– Det här kan komma att bli det största IT-fiaskot i Sverige någonsin. Mycket större än Transportstyrelsen och Nya Karolinska säger Mats Löfström, IT-expert.

Svensk sjukvård är mitt uppe i en digitaliseringsprocess. En del i detta är att en stor del av ansvaret för vårdinformationen läggs på utländska företag, huvudsakligen amerikanska. Det är redan verklighet efter upphandlingar som gjorts i flera landsting och regioner, där driften av vårdinformationssystem sköts av amerikanska företag.

Exempelvis Region Skåne har anlitat det amerikanska företaget Cerner för att ansvara över vårdinformationen och i Stockholms läns landsting håller liknande upphandlingar på att genomföras. En konsekvens är att svensk sjukvård kan komma att bli beroende av amerikanska systemleverantörer en lång tid framöver.

Detta kritiseras av forskare och politiker i en debattartikel i DN. De beskriver problemet som uppstår när svenska vårddata, till exempel patientjournaler, hanteras av amerikanska företag.

Risken finns att säkerheten inte kan garanteras och att kostnaderna kommer skena iväg, menar undertecknarna.

I debattartikeln riktas kritik mot att man på nationell nivå inte uppmärksammat vad beroendet av amerikanska systemleverantörer kan innebära. Artikelförfattarna menar att säkerheten är svår att garantera då ansvaret ligger hos tredje part.

Om man lägger ansvaret för lagringen av patientdata på ett amerikanskt företag så kan svenska patientjournaler hamna i händerna på den amerikanska regeringen.

Cirka 80 procent av den svenska befolkningens patientjournaler kan lagras i system där svenska myndigheter inte har insyn. De anser även att upphandlingskostnaderna kan bli högre än väntat och pekar på liknande upphandlingar i Danmark.

Där har det slutat med att kostnaderna blivit dubbelt så höga jämfört med det ursprungliga upphandlingsavtalet.

I skuggan av GDPR trädde lagen Cloud act i kraft i mars i år. Lagen innebär att amerikanska molnleverantörer är skyldiga att ge den amerikanska regeringen tillgång till data som lagras där. Även den som lagras utomlands. Om man väljer att lägga över ansvaret för lagringen av patientdata på ett amerikanskt företag så kan svenska patientjournaler hamna i händerna på den amerikanska regeringen.

Mats Löfström, erfaren IT-expert och författare, menar att systemet som används för vårdinformation i till exempel Skåne är bristfälligt på många sätt. Systemet är uppbyggt för att passa amerikanska vårdprocesser och måste därför genomgå en dyr anpassning för att fungera i Sverige, säger han i en artikel i Fokus. Mats Löfström menar även att kostnaderna kommer att ha tiodubblats innan man fattar att de olika systemen inte kan samverka och det är dags att tänka om.

– När man inser att systemen inte fungerar finns det två sätt att gå tillväga. Antingen lappar man ett skadat system, det kommer att bli väldigt dyrt. Jag ser hellre att man satsar om på en nationell styrning där all vårdinformation hanteras av samma system. säger Mats Löfström till Dagens Arena.

Om det skulle uppstå något problem när systemet väl är på plats så är det bara företagen själva som kan åtgärda det. Detta innebär att svensk sjukvård hamnar i en beroendeställning till företaget som har hand om vårdinformationen menar Mats Löfström.

Konsekvenserna av upphandlingarna är svåra att förutse men det finns vissa indikationer på vad de kan leda till. Mats Löfström menar att det finns liknande säkerhetsrisker när man lägger ut vårdinformationssystemet på upphandling som det fanns när Transportstyrelsen valde att outsourca driften av sitt system.

Patrik Sundström arbetar med e-hälsa och digitalisering inom vården på Sveriges Kommuner och Landsting, SKL. Han betonar att säkerheten ska tas i beaktande när man upphandlar.

– För att garantera säkerheten i Sverige måste man ställa krav på att systemen lever upp till svensk lagstiftning.

Patrik Sundström är positivt inställd till satsningen på nya vårdinformationssystem.

Det som pågår nu är en historisk kraftsamling där gammal teknik avvecklas och nya moderna system köps in, framhåller han.

I debattartikeln i DN befarade artikelförfattarna att kostnaderna skulle skena iväg. Patrik Sundström säger att han inte vet specifikt hur det ser ut i de involverade landstingen.

Efter IT-skandalen i Transportstyrelsen ville regeringen se en nationell hantering av IT-driften. Försäkringskassan skulle erbjuda sig att ta hand om IT-driften för myndigheter som inte själva kan sköta den.

– Försäkringskassan har en vana att hantera känsliga uppgifter. Därför är man den mest lämpade aktören, sade socialminister Annika Strandhäll till Dagens industri i augusti förra året.

I samma artikel säger också civilministern Ardalan Shekarabi att han vill skapa ett alternativ till myndigheter som inte vill outsourca verksamheten till den privata marknaden.

Stefan Olowsson, IT-direktör på Försäkringskassan, säger att det är många mindre myndigheter som är intresserade och frågar om lagring hos försäkringskassan.

En utvärderingsperiod pågår fram till 2020 och efter det får vi se om Försäkringskassan få fortsatt förtroende.

– Efter försöksperioden får vi se. Det är upp till Sverige om vi får fortsätta med vår verksamhet eller inte.

Stefan Olowsson vet inte varför landsting väljer amerikanska företag före Försäkringskassan. Han menar att det egentligen handlar om två olika saker.

–De väljer ett helt nytt system, en annan applikation medan vi redan har ett system på plats och erbjuder oss att lagra i det.

Dagens Arena har sökt Finansdepartementet för en kommentar men de har ännu inte hört av sig.

Karl Meyer är journalistpraktikant på Dagens Arena.