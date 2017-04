Tills idag har vårdaktörer konkurrerat med tillgänglighet vilket lett till att decentraliserade organisationer vuxit fram. Vad digitaliseringen i vården medför är en ny differentieringsfaktor – digitalt vårderbjudande. Vad detta innebär i ökad kundnytta och effektivisering har redan Region Jönköping och företag som Kry och Min Doktor visat. Intressant är nu vad digitala erbjudanden medför för utmaningar för vårdens aktörer under 2017 i ljuset av EU:s nya dataskyddsförordning som träder i kraft 25 maj 2018.

Särskilda utmaningar för vårdbolag i och med dess decentraliserade organisation

EU:s nya dataskyddsförordning får stora konsekvenser för hur verksamheter hanterar personuppgifter och information i verksamheten, med partners och vilka erbjudanden som ges till individer. Genom att i lagen kraftigt begränsa och styra de sätt på vilka personuppgifter ska hanteras ges informationen ett förstärkt skydd. Lagen innehåller även detaljerade regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta för att undvika informationsläckage och otillbörlig behandling. För första gången introduceras ett krav på att företaget självt ska kunna visa att företaget följer de processer och skyldigheter som det åläggs av dataskyddsförordningen.

Dataskyddsförordningen introducerar även ett mått av solidariskt ansvar för den ansvarige och dess underleverantörer för att hela kedjan ska hålla en god regelefterlevnad och inte agerar vårdslöst med personuppgifter. Ytterligare en nyhet är de kännbara böter som kan bli upp till 4 procent av globala omsättningen eller upp till 20 miljoner euro. Ett lagbrott mot dataskyddslagen får följdkonsekvenser för övriga gällande avtal som är ingångna av bolaget inte minst offentligt upphandlade avtal, vilket innebär sanktioner enligt dessa avtal.

En utmaning med vårdbolagens ofta decentraliserade organisationer, bestående av vårdenheter och bolag, är att finna lämplig balans mellan kliniskt självstyre och central kvalitetsledning och uppföljning. Lokala vårdenheter runt om i landet ingår ofta inte i det centrala it-systemet, samtidigt som att moderbolaget har ansvaret för leverans av service för hela gruppen då bolaget innehar samtliga kund- och partneravtal. Moderbolag är i denna struktur särskilt känsliga för enskilda enheters och dotterbolags regelefterlevnad. Det finns här argument för att ytterligare centralisera informationshantering, it-miljö och verksamhetsutveckling.

Uppnå en miniminivå av regelefterlevnad – full compliance är inte affärsmässigt

Att uppnå full compliance mot de krav dataskyddsförordningen ställer tills före 25 maj 2018 är för många verksamheter inte möjligt och kanske inte heller affärsmässigt motiverat. Ett bra arbete är ett arbete som blir av. Vi förväntar oss att tillsynsmyndigheten kommer vara aktiv i maj nästa år och initiera samråd med aktörer där ett medvetet och aktivt dataskyddsarbete kommer tillgodoräknas.

I vårt arbete med dataskyddsfrågor och strategiskt stöd till ledningsgrupper ser vi att offentlig verksamhet prioriterar en översyn av interna processer som till exempel accessbehörigheter, spårning och införa garantier för leverantörers regelefterlevnad av dataskydd i vårdupphandlingar. Vårdleverantörer prioriterar it-inköp, analys av brukarunderlaget och behov, samt it-miljön med riskanalys av och kravställande mot underleverantörer.

Best practice för att nå en miniminivå är att tidigt under 2017 påbörja en grundläggande genomlysning av verksamhet, organisation, it-miljö, serviceerbjudanden och partners för att göra behovsinventering som steg ett. Nyckelpersoner som bör kopplas in i en sådan kartläggning är vd, it-chef, säkerhetsansvarig, marknadschef, digitaliseringsansvarig samt bolagsjurist.