Molntjänsterna stöter på patrull i den offentliga sektorn. När det gäller myndigheter är personuppgiftlagen ett hinder. För vården finns flera andra hinder. Ett av dem är ett EU-direktiv som i princip sätter stopp för all outsourcing av patientdata utanför EU.

Men det går att komma runt om man enligt ett antal standardklausuler som EU har formulerat verkligen är säker på att skyddet är på samma nivå som inom den egna organisationen.

– Det innebär långtgående krav på att tillgodose enskilda patienters rättigheter, vad gäller informationsskydd, rättelser och att information inte får spridas till obehöriga, säger Hans-Olof Lindblom, som är chefsjurist, på Datainspektionen.

Ett problem är att situationen i det land där servrar med patientdata befinner sig kan ändras snabbt. Och då gäller att organisationen som har outsourcat fortfarande har hela ansvaret för att data hanteras på rätt sätt.

– Ansvaret kan man aldrig lägga ut, så följden blir att en juridisk riktig outsourcing vid ett tillfälle kan bli förbjuden om den politiska situtionen ändras, så att säkerheten inte kan garanteras, säger Lindblom.

Den som exempelvis outsourcar lagringen av patientdata, måste också ta hänsyn till bland annat personuppgiftslagen, patientdatalagen och föreskrifter om informationshantering och journalföring från Socialstyrelsen.

– Vårdgivaren måste vid outsourcing kunna erbjuda samma säkerhet både vad gäller tillgänglighet och integritet samt möjlighet till uppföljning, som om data hanterades inom den egna organisationen, säger Maria Jacobsson, jurist på Socialstyrelsens avdelningen för regler och tillstånd.

Enligt Fia Ewald, som är ansvarig för att stödja hälso- och sjukvårdens arbete med informationssäkerhet på Myndigheten för samhällsskydd och beredskap, är huvudprincipen att säkerheten hos en leverantör ska ge minst den skyddsnivå som organisationen har krav på sig att klara internt, något som ofta stöter på patrull.

– Det är mycket svårt att få till stånd avtalsmässigt, och ställer mycket höga krav på kompetens inom säkerhet, juridik och upphandling. Ofta är drivkraften att öka tillgängligheten, men mot det står risken att tappa det skydd som måste finnas för personuppgifter, säger hon.

Fakta

  1. Att man först och främst uppfyller de krav som finns på den egna informationen, utifrån patienternas integritetssynpunkt.
  2. Att man informationsklassar den information som läggs ut och reglerar detta tydligt i avtal med leverantören.
  3. Att man har resurser för att följa upp att leverantören hela tiden uppfyller sina säkerhets- och integritetsåtaganden. Exempelvis att leverantören eller dess anställda inte ens går in och läser patientfiler i support, eller hjälpsyfte, för att få systemen att fungera bättre.