Därför behöver vårdbolag påbörja anpassningen till GDPR redan i dag

Tills idag har vårdaktörer konkurrerat med tillgänglighet vilket lett till att decentraliserade organisationer vuxit fram. Vad digitaliseringen i vården medför är en ny differentieringsfaktor – digitalt vårderbjudande. Vad detta innebär i ökad kundnytta och effektivisering har redan Region Jönköping och företag som Kry och Min Doktor visat. Intressant är nu vad digitala erbjudanden medför för utmaningar för vårdens aktörer under 2017 i ljuset av EU:s nya dataskyddsförordning som träder i kraft 25 maj 2018.

Särskilda utmaningar för vårdbolag i och med dess decentraliserade organisation

EU:s nya dataskyddsförordning får stora konsekvenser för hur verksamheter hanterar personuppgifter och information i verksamheten, med partners och vilka erbjudanden som ges till individer. Genom att i lagen kraftigt begränsa och styra de sätt på vilka personuppgifter ska hanteras ges informationen ett förstärkt skydd. Lagen innehåller även detaljerade regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta för att undvika informationsläckage och otillbörlig behandling. För första gången introduceras ett krav på att företaget självt ska kunna visa att företaget följer de processer och skyldigheter som det åläggs av dataskyddsförordningen.

Dataskyddsförordningen introducerar även ett mått av solidariskt ansvar för den ansvarige och dess underleverantörer för att hela kedjan ska hålla en god regelefterlevnad och inte agerar vårdslöst med personuppgifter. Ytterligare en nyhet är de kännbara böter som kan bli upp till 4 procent av globala omsättningen eller upp till 20 miljoner euro. Ett lagbrott mot dataskyddslagen får följdkonsekvenser för övriga gällande avtal som är ingångna av bolaget inte minst offentligt upphandlade avtal, vilket innebär sanktioner enligt dessa avtal.

Läs också: Så förbereder hon Attendo för GDPR – "just do it!"

En utmaning med vårdbolagens ofta decentraliserade organisationer, bestående av vårdenheter och bolag, är att finna lämplig balans mellan kliniskt självstyre och central kvalitetsledning och uppföljning. Lokala vårdenheter runt om i landet ingår ofta inte i det centrala it-systemet, samtidigt som att moderbolaget har ansvaret för leverans av service för hela gruppen då bolaget innehar samtliga kund- och partneravtal. Moderbolag är i denna struktur särskilt känsliga för enskilda enheters och dotterbolags regelefterlevnad. Det finns här argument för att ytterligare centralisera informationshantering, it-miljö och verksamhetsutveckling.

Uppnå en miniminivå av regelefterlevnad – full compliance är inte affärsmässigt

Att uppnå full compliance mot de krav dataskyddsförordningen ställer tills före 25 maj 2018 är för många verksamheter inte möjligt och kanske inte heller affärsmässigt motiverat. Ett bra arbete är ett arbete som blir av. Vi förväntar oss att tillsynsmyndigheten kommer vara aktiv i maj nästa år och initiera samråd med aktörer där ett medvetet och aktivt dataskyddsarbete kommer tillgodoräknas.

I vårt arbete med dataskyddsfrågor och strategiskt stöd till ledningsgrupper ser vi att offentlig verksamhet prioriterar en översyn av interna processer som till exempel accessbehörigheter, spårning och införa garantier för leverantörers regelefterlevnad av dataskydd i vårdupphandlingar. Vårdleverantörer prioriterar it-inköp, analys av brukarunderlaget och behov, samt it-miljön med riskanalys av och kravställande mot underleverantörer.

Best practice för att nå en miniminivå är att tidigt under 2017 påbörja en grundläggande genomlysning av verksamhet, organisation, it-miljö, serviceerbjudanden och partners för att göra behovsinventering som steg ett. Nyckelpersoner som bör kopplas in i en sådan kartläggning är vd, it-chef, säkerhetsansvarig, marknadschef, digitaliseringsansvarig samt bolagsjurist.

Arbetet leds med fördel av en erfaren dataskyddsexpert för att lämna underbyggda rekommendationer om vilka åtgärder, nivåer och prioriteringar som kan anses som ”good enough” enligt den kommande lagstiftningen. Det ska dock påpekas att hälsodata (till exempel uppgift om hälsotillstånd och biometrisk data) är känslig data som kräver särskild hantering och där nivån på compliance bör vara hög. Låt arbetet ske under en begränsad tidsperiod där projektet löpande rapporterar observationer till ledningen.

Arbetet resulterar i behov och prioriteringar för verksamhetens regelefterlevnad och hur detta arbete kan förstärka pågående verksamhetsutveckling och kvalitetsarbete. En konkret handlingsplan tas fram och förankras i organisationen med mål att genomdriva nödvändiga förändringar av (i) intern organisation, (ii) teknisk miljö, samt (iii) omfördelning av risk på underleverantörer och partners.

För organisationer som är mogna att ta nästa steg kan det vara värt att se över paketering av serviceerbjudanden för att bättre utnyttja insamlade data om kundens behov på ett värdeskapande sätt.

Agera kostnadseffektivt genom att ta informerade beslut under hela 2017

Vi ser på nära håll genom vårt arbete vinsterna av att genomföra en behovsinventering tidigt under 2017. Ett tidigt arbete med gap-analys och handlingsplan ger verksamheten möjlighet att ta välinformerade beslut under resten av året. Ofta kan organisationen i tid hantera ökad risk genom att se över prissättning, försäkring eller omfördelning av risk på partners. Med detta underlag kan även organisationen bättre tillvarata pågående arbeten och att inte i onödan hindra eller tvingas riva upp pågående it- eller kvalitetsarbete.

Läs också: Systeminventering och samtycke - så tar Perstorps cio grepp om GDPR

Det finns risker i att inte agera som måste nämnas. Affärsrisken består i att se sin organisation tappa i popularitet och anseende till aktörer som erbjuder ett hållbart och lagligt digitalt vårderbjudande. Att respektera individens integritet är bra för affärerna.

För att sammanfatta:

• Trenderna inom vården går emot att erbjuda patienter ett digitalt vårderbjudande i tillägg till geografisk närhet.
• Vårdbolag är historiskt decentraliserade i dess organisation till följd av vikten av att ge klinisk service i ett närområde.
• EU:s nya dataskyddsförordning träder i kraft 25 maj 2018 och ökar ansvaret på vårdbolagen att följa tvingande regler om it-säkerhet, integritet och organisation med påföljd av höga böter med mera.
• Decentraliseringen av vårdbolags organisation medför en ökad komplexitet att upprätthålla kvalité och uppföljning av bland annat dataskyddsarbetet.
• Nya dataskyddsförordningen medför en ökad riskexponering för merkostnader, sanktioner i form av administrativa böter från tillsynsmyndighet, följdverkningar i form av avtalsbrott i offentliga kontrakt samt merkostnader i förhållande till partners och underleverantörer.
• Full compliance är oftast inte affärsmässigt motiverat på kort sikt.
• För att nå en miniminivå av regelefterlevnad inför 2018 då dataskyddsförordningen träder i kraft bör organisationen påbörja ett kartläggningsarbete under första delen av 2017.
• Dataskyddsarbetet påverkar vårdbolag på flera sätt som (i) organisation, (ii) it-miljö, (iii) serviceerbjudande, samt (iv) partners.
• Genomförande av sådan förstudie med handlingsplan resulterar typiskt i att (i) göra översyn av lämplig nivå av centralisering av organisationen, (ii) kravställande och uppföljning vid it-inköp, (iii) framtagande av rapportering och uppföljningsprocesser med stöd av egen it-miljö, (iv) omfördelning av risk i omförhandling av avtal med underleverantörer, koncernbolag och partners, samt (v) ompaketering av serviceerbjudanden för att utnyttja insamlade data om kundens behov på ett värdeskapande sätt.
• De organisationer som genomför en förstudie med handlingsplan tidigt under 2017 kommer ta bättre beslut och kunna ha tid att agera proaktivt under resten av året.
• En risk med att vara passiv i sitt dataskyddsarbete är att tappa marknadsandelar till konkurrenter som bättre anpassat sig till de nya fortsättningarna.