Så uppnås säkerhet och effektivitet i digitala vårdsystem
Intervju med Lars Pontén, Chief Information Security Officer Doctrin
För Doctrin är den tekniska säkerheten av yttersta vikt. I takt med att användandet av vår plattform växer kommer vi exponeras för nya risker. Därför är vi glada över att Lars Pontén som tidigare arbetat 18 år med säkerhetsfrågor vid Försvarsmakten anslutit som ny Chief Information Security Officer. Lars menar att hög säkerhet inte behöver ske på bekostnad av effektivitet. Ta del av hans erfarenhet kring vad offentlig sektor behöver tänka på avseende säkerhetsfrågor när man upphandlar underleverantörer.
Vad har du gjort tidigare?
I grunden är jag utbildad vid Lund Tekniska Högskola. För ca 20 år sedan jobbade jag med telemedicin på Telia i något som hette Baltic International Telemedicine Network där vi bl.a. jobbade med vårdcentraler i Estland på ön Ösel som använde video för att kommunicera med sjukvård på fastlandet, så detta med video i vården är inte så nytt som man kan tro.
Framförallt är min bakgrund 18 år inom Försvarsmakten där jag jobbat med försvarslogistik. Logistik handlar ju om att få rätt saker på rätt plats i rätt tid. Jag arbetade med hemlig försvarslogistik och där ingick allt mellan himmel och jord, från att säkerställa logistisk kring mat och sjukvård, till underhåll av komplicerade maskiner som ubåtar och IT-säkerhetsfrågor.
Försvarsmakten och vården har gemensamt att det finns mycket tydliga regelverk som sätter ramarna för säkerhetsarbetet. Vad man som organisation måste fokusera sitt säkerhetsarbete på är hur man kombinerar säkerhet och effektivitet, så att det ena inte sker på bekostnad av det andra.
Vad är det viktigaste man som vårdgivare bör titta på vad gäller säkerhet?
Det finns tre viktiga principer när vi pratar säkerhet. Den första handlar om vad man vill uppnå. Det vill säga att man bör sträva efter en effektiv verksamhet i kombination med hög säkerhet. Det är en ofta en inställningsfråga. Man tenderar tro att säkerhet begränsar men ofta finns det sätt att uppnå både effektivitet och hög säkerhet så länge det är vad man strävar efter.
Den andra viktiga principen vi pratar om inom säkerhetsarbetet handlar om att separera. Det vill säga att säkerställa att kundens verksamhet, driftmiljö och utveckling så att säkerhetsrisker på ett område inte påverkar de andra, utan för den skulle förta effektivitet eller att det inte går att uppnå smidigt informationsflöde.
Den tredje principen handlar om transparens och att det finns en kultur i organisationen som uppmuntrar att man säger till när man identifierar säkerhetsrisker utan att vara rädd för reprimander. Hur framgångsrik man är i sitt säkerhetsarbete handlar till stor del om ens förmåga att proaktivt förebygga risker och snabbt åtgärda när incidenter väl inträffar.
Vad ska man efterfråga vid upphandling av digitala plattformar när det gäller säkerhet?
I grunden måste man kräva av sina underleverantörer att de har förståelse för verksamheten och respekt för den komplexitet som man som vårdgivare har ansvar för att upprätthålla. Som beslutsfattare i en region eller upphandlare av ett digitalt system skulle jag ju önska att leverantören proaktivt tänker på och arbetar förebyggande när det gäller säkerhetsrisker snarare än att man som offentlig upphandlare eller vårdgivare ska behöva komma med en lång kravlista.
Vilka områden i vården är särskilt utsatta när vi pratar säkerhetsfrågor?
Det finns fyra områden när vi pratar säkerhet i vården. Ett är patientsäkerhet det vill säga att säkerställa att folk inte dör eller skadas, därefter patientintegritet att säkerställa att patientdata inte läcker till obehöriga som t ex patienter med skyddad identitet som ju kan vara en fråga på liv och död till syvende och sist. På detta område har Doctrin arbetat redan från början med att säkerställa att våra strukturer följer och ibland till och med överträffar befintlig lagstiftning.
Den tekniska IT-säkerheten kan man dela upp i två delar. Dels generella attacker som t ex ransomware som drabbar alla typer av organisationer och dels de attacker som är riktade mot en specifik organisation t ex för att få ut skyddade identiteter eller annan känslig information.
Vad behöver man göra för att upprätthålla så god säkerhet som möjligt?
Bara för att vi pratar om säkerhet behöver det inte bli tungrott och begränsande. Man måste ha en optimistisk och lösningsorienterad inställning i organisationen att det går att tänka säkerhetsmedvetet utan att det begränsar kreativitet eller effektivitet.
Utöver att säkerställa att man följer befintlig lagstiftning är det mycket en kultur och organisationsfråga. För att få igång den processen måste man börja med medarbetare och underleverantörer och ställa sig frågan – vad är viktigt för en effektiv verksamhet och vad är viktigt för vår säkerhet?
Man behöver formulera det så att medarbetare börjar tänka själva. Det klassiska sättet för att öka medvetandet var att skrämma, t.ex. om ransomware. Men idag tycker jag man är mycket mer positiv i dialogen kring varför och hur man ska jobba med säkerhetsfrågor.
Hur ska man då gå tillväga för att upprätthålla säkerhet utan att minska effektiviteten?
Avvägning mellan patientintegritet och informationshantering t ex i journalsystem finns väldigt detaljerat formulerade i de lagar som riksdagen har arbetat fram. Så där är det väldigt tydligt vad som gäller. Utmaningen för oss som jobbar med digitala system i vården är att den information som egentligen är skyddad av tystnadsplikt måste kunna delas för att uppnå en effektiv och patientcentrerad vård. Så då måste vi arbeta för att hitta lösningar inom befintlig regelverk som uppfyller lagen och andemeningen i lagen.
Hur ska man som region ta hänsyn till patientperspektivet?
Jag är pappa till en 17-årig son son som sitter i rullstol och därför har särskilda behov. Det gör mig lycklig att se hur vården älskar mitt barn. Faktiskt älskar mitt barn och är mån om att se till hans bästa i alla lägen. Men visst finns det en utmaning inte minst nu när han blir äldre att se till att han får den hjälp han behöver utan att förta hans självständighet och kapacitet som egen individ.
Alla människor har inte lika lätt att jobba med digitala verktyg. Min son kan inte använda bank-ID på grund av begränsad fysiska förmåga i fingrarna. Men kognitivt han har inga problem så för honom skulle röststyrd funktionalitet lämpa sig och det arbetar vi nu med på Doctrin även om det är en bit kvar innan vi löst det.
Vad utmärker Doctrin inom säkerhet?
Vi tar säkerhet på största allvar ett konkret exempel är att driften ligger separat i Sverige. Gränsytan mot data är så liten som möjligt, vi är t ex inte inne och jobbar med de konkreta patientfallen utan det ligger separat. Det andra är riskhantering. Vi har sedan länge ett riskhanteringssystem med regelbundna riskmöten, dialog med kunderna hur det utvecklar sig, mäter och följer upp för att upprätthålla nivåer.
Sen jobbar vi också med att säkerställa att ser man en svaghet i systemet ska man berätta om det så att man kan fixa det. Vi meddelar ju kunderna när vi ser säkerhetsproblem för att vara transparenta som möjligt, men också för att ibland kan de vidta åtgärder som minskar konsekvenserna. Vi utför återkommande granskningar. En granskning är en möjlighet att få friska ögon utifrån som tittar på det man gör och ger rekommendationer kring vad som behöver förbättras. Så det uppmuntrar jag alla att göra.
Något sista medskick kring hur säkerheten kan bli bättre inom vården?
Ett medskick till beslutsfattare och upphandlare är att föra en kravdialog istället för att kravlista. Att i upphandlingsunderlaget ställa frågan om granskning t ex för att därigenom föra en dialog kring hur bolaget säkerställer extern granskning snarare än att sätta ett specifikt krav som inte alltid är det mest adekvata.
