Svensk vård är inne i ett stort generationsskifte – it-stöd upphandlas för miljarder med målet att bättre kunna använda sig av digitaliseringen och ny teknik framåt.

Två regioner som redan är igång – Västra Götalandsregionen och Region Skåne – har båda valt den amerikanska leverantören Cerners system Millennium.

Men systemet är inte helt anpassat för svenska förhållanden. Nyligen sköt Västra Götalandsregionen upp sitt införande för att ge Cerner tid att anpassa sitt system Millennium till de krav som den svenska patientdatalagen ställer – något som den amerikanska jätten inte förstått omfattningen av.

Västra Götalandsregionen hymlar inte med att det handlar om att Cerner inte kan leverera i tid.

– Förseningen är verkligen beklaglig. VGR ligger i fas och vi är redo för införande, uppgav regiondirektör Ann-Sofie Lodin i september.

Valt att drifta plattformen lokalt

Valet av Millennium har väckt frågor kring vad som kan hanteras i molnet. Den rekommenderade lösningen från Cerner är att lägga driften i Amazons moln. Men i stället har Västra Götalandsregionen valt att drifta plattformen lokalt och Region Skåne har valt att lägga it-driften hos Cerner i ett privat moln.

Men även Region Skånes migreringsarbete har stora brister. I en ny intern rapport som Computer Sweden tagit del av varnas för flera potentiella risker kopplade till överföringen av sekretessbelagd information, som exempelvis patientjournaler och labbresultat, till en extern leverantör.

It i vården-dagen, 10 december – 40 inspirerande talare, nya digitala lösningar som lyfter vården, konkreta tips på hur du implementerar nya arbetssätt och it-system. Läs mer och boka här »

I rapporten pekas på att rutinerna för riskanalys i arbetet med Skånes digitala vårdsystem, SDV, är för dåliga – informationsklassificeringen görs för sent och avklarade riskanalyser sammanställs inte centralt så att de kan följas upp. Riskanalysverktyget anses dessutom vara svårt att hantera.

Organisationskulturen i sig finns också med bland de identifierade bristerna. Det finns helt enkelt ingen kommunicerad agenda för informationssäkerhet med verktyg för att rapportera brister i arbetet med den nya vårdinformationsplattformen.

Det gör att brister riskerar att förbises och att ”medarbetare genom uppgivenhet både upplever och bidrar till en tystnadskultur”. I sin tur leder det till att oro ventileras i korridorerna vilket leder till ytterligare risker.

Också när det gäller de krav som ställdes i upphandlingen finns frågetecken. Det kan enligt rapporten vara svårt att validera att avtalet verkligen uppfyller samtliga krav som ställts i upphandlingen. Kravställningen är ibland otydlig och det öppnar för tolkning.

En stor del av rapporten ägnar sig också åt det som just nu sysselsätter en stor del av den svenska offentliga sektorn. När kan sekretessbelagda data lämnas ut till en utländsk leverantör i en molntjänst utan att anses röjda?

Ökad oro kring amerikanska leverantörer

Det finns ökad oro över att amerikanska leverantörer kan tvingas överlämna information till deras myndigheter, enligt amerikansk lagstiftning som Cloud act.

I rapporten resoneras kring att det i vissa fall kan räcka med att lämna över informationen till en tjänsteleverantör för att den ska anses vara röjd. I andra fall handlar det om hur den hanteras.

Och det är också en fråga som har ställts på sin spets i Region Skåne. I ett internt mejl från i juni som CS tagit del av framgår att Cerner då begärde tillgång till regionens alla patientdata och finansiella data för bearbetning på olika platser utomlands – både inom EU och utanför. Det handlade alltså om att behandla patientdata från de nära 1,4 miljoner personer som bor i regionen.

Ska skickas till nio olika länder

Totalt vill Cerner att alla patientdata skickas till tolv olika enheter i Cerner i nio olika länder – Indien, USA, Storbritannien, Frankrike, Spanien, Australien, Nederländerna, Irland och Tyskland.

Olika enheter ska, enligt den mall som bifogas mejlet, använda uppgifterna på olika sätt – det handlar om sådant som felsökning, teknisk support, uppgraderingar, administration och konfigurering.

Den här förfrågan ska dock Region Skåne ha sagt nej till så sent som för någon månad sedan.

Vidare konstateras det i rapporten att antalet underleverantörer måste vara “strikt begränsat” och att arbetet med sekretessbelagd information ”sker inom Sverige”, men att ”bedömningen är fortfarande att risken får anses vara hög”.

När det gäller röjande genom annan stats lag är emellertid slutsatsen att det inte finns någon möjlighet att minska risken – om man inte helt byter lösning.

Läs också: 
Tidplan ännu inte klar för försenat miljardprojekt i vården – kan bli skadestånd
Sveriges vård riggar för systembyte – ”ofattbart mycket jobb”